มัลแวร์ TamperedChef
ผู้ก่อภัยคุกคามกำลังใช้ประโยชน์จากโปรแกรมติดตั้งปลอมที่ปลอมแปลงเป็นแอปพลิเคชันที่ใช้งานกันอย่างแพร่หลายในแคมเปญโฆษณาแฝงระดับโลกที่รู้จักกันในชื่อ TamperedChef ผู้ใช้ที่ดาวน์โหลดโปรแกรมปลอมเหล่านี้ได้ติดตั้งมัลแวร์ที่ออกแบบมาเพื่อสร้างการคงอยู่ในระบบของพวกเขาโดยไม่ตั้งใจ และใช้ช่องโหว่ JavaScript สำหรับการเข้าถึงและควบคุมจากระยะไกล ในขณะที่รายงาน แคมเปญยังคงทำงานอยู่ โดยตรวจพบสิ่งประดิษฐ์ที่เป็นอันตรายใหม่ๆ และโครงสร้างพื้นฐานที่เกี่ยวข้องยังคงทำงานอยู่
สารบัญ
วิศวกรรมสังคมและการแสวงประโยชน์จากความไว้วางใจ
ผู้ดำเนินการเบื้องหลัง TamperedChef ใช้ประโยชน์จากเทคนิคทางวิศวกรรมสังคมเพื่อเพิ่มความไว้วางใจของผู้ใช้และหลีกเลี่ยงการตรวจจับ วิธีการของพวกเขาประกอบด้วย:
- การใช้ชื่อแอปพลิเคชันที่คุ้นเคยเพื่อดึงดูดการดาวน์โหลด
- การปรับใช้แคมเปญโฆษณาแฝงเพื่อเข้าถึงผู้ใช้ผ่านโฆษณาออนไลน์
- การใช้กลยุทธ์การเพิ่มประสิทธิภาพเครื่องมือค้นหา (SEO) เพื่อให้ปรากฏในผลการค้นหา
- การลงนามมัลแวร์ด้วยใบรับรองดิจิทัลที่ละเมิดซึ่งให้ภาพลักษณ์ของความชอบธรรม
ใบรับรองมักออกให้กับบริษัทเชลล์ที่จดทะเบียนในสหรัฐอเมริกา ปานามา และมาเลเซีย เมื่อใบรับรองเก่าถูกเพิกถอน ผู้โจมตีจะได้รับใบรับรองใหม่ภายใต้ชื่อบริษัทที่แตกต่างกันอย่างต่อเนื่อง เพื่อรักษาภาพลักษณ์ของความถูกต้องตามกฎหมาย ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศ (Infosec) อธิบายว่าโครงสร้างพื้นฐานนี้มีความเป็นระเบียบสูง ทำให้สามารถสร้างโปรแกรมติดตั้งที่ดูน่าเชื่อถือได้อย่างต่อเนื่อง
ครอบครัวมัลแวร์และบริบทของแคมเปญ
TamperedChef เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ที่มีชื่อรหัสว่า EvilAI ซึ่งใช้เหยื่อล่อที่เชื่อมโยงกับเครื่องมือและซอฟต์แวร์ปัญญาประดิษฐ์ (AI) เพื่อแพร่กระจายมัลแวร์ แม้ว่า TamperedChef เองจะกลายเป็นชื่อที่ใช้กันอย่างแพร่หลายสำหรับตระกูลมัลแวร์ แต่ในบางรายงานยังถูกติดตามด้วยชื่อ BaoLoader อีกด้วย ชื่อ TamperedChef ช่วยรักษาความสอดคล้องกันในสิ่งพิมพ์ด้านความปลอดภัยทางไซเบอร์และการตรวจจับของผู้ขาย แม้ว่าจะแตกต่างจากมัลแวร์ TamperedChef ดั้งเดิมที่ฝังอยู่ในแอปพลิเคชันสูตรที่เป็นอันตรายก็ตาม
การโจมตีเกิดขึ้นได้อย่างไร
สถานการณ์การโจมตีทั่วไปมีดังนี้:
- ผู้ใช้ที่ค้นหาโปรแกรมแก้ไข PDF หรือคู่มือผลิตภัณฑ์บนเครื่องมือค้นหาจะได้รับ URL ที่เป็นอันตรายหรือโฆษณาที่เป็นอันตราย
- การคลิกลิงก์เหล่านี้จะนำผู้ใช้ไปยังโดเมนที่ติดกับ โดยมักจดทะเบียนผ่าน NameCheap ทำให้ผู้ใช้ต้องดาวน์โหลดโปรแกรมติดตั้งปลอม
- โปรแกรมติดตั้งจะขอให้ผู้ใช้ยอมรับเงื่อนไขการอนุญาตสิทธิ์มาตรฐาน จากนั้นเปิดหน้าขอบคุณในแท็บเบราว์เซอร์ใหม่เพื่อรักษากลอุบายดังกล่าว
เป้าหมายสุดท้ายของแคมเปญยังคงไม่ชัดเจน มัลแวร์บางประเภทเอื้อให้เกิดการฉ้อโกงทางการโฆษณา ในขณะที่บางประเภทสามารถสร้างรายได้ผ่านการขายสิทธิ์การเข้าถึงให้กับอาชญากรไซเบอร์ หรือโดยการรวบรวมข้อมูลสำคัญสำหรับฟอรัมใต้ดิน
ผลกระทบทางภูมิศาสตร์และภาคส่วน
ข้อมูลทางไกล (Telemetry) ระบุว่าผู้ใช้ในสหรัฐอเมริกาได้รับผลกระทบมากที่สุด โดยมีรายงานการติดเชื้อเพิ่มเติมในอิสราเอล สเปน เยอรมนี อินเดีย และไอร์แลนด์ ภาคส่วนที่ได้รับผลกระทบมากที่สุด ได้แก่ การดูแลสุขภาพ การก่อสร้าง และการผลิต ซึ่งอาจเกิดจากการพึ่งพาอุปกรณ์เฉพาะทางและการค้นหาคู่มือผลิตภัณฑ์ทางออนไลน์บ่อยครั้ง ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้
