TamperedChef Stealer

นักวิจัยด้านความปลอดภัยไซเบอร์ค้นพบแคมเปญอันตรายที่ใช้โฆษณาออนไลน์หลอกลวงเพื่อเผยแพร่โปรแกรมขโมยข้อมูลตัวใหม่ที่รู้จักกันในชื่อ TamperedChef ปฏิบัติการนี้อาศัยมัลแวร์โฆษณาเพื่อหลอกล่อผู้ใช้ให้ดาวน์โหลดโปรแกรมแก้ไข PDF ที่มีโทรจันแฝงอยู่

โปรแกรมแก้ไข PDF แบบโทรจันเป็นตัวล่อ

ซอฟต์แวร์ปลอมที่โฆษณาว่า AppSuite PDF Editor หลอกผู้ใช้ให้ติดตั้งสิ่งที่ดูเหมือนเป็นเครื่องมือถูกกฎหมาย ระหว่างการติดตั้ง เหยื่อจะเห็นข้อตกลงเงื่อนไขการให้บริการ ทำให้ดูเหมือนเป็นซอฟต์แวร์ถูกกฎหมาย อย่างไรก็ตาม เบื้องหลัง ตัวติดตั้งจะแอบเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อลบแอปพลิเคชันตัวแก้ไข ขณะเดียวกันก็แก้ไขรีจิสทรีของ Windows เพื่อสร้างการคงอยู่

ตัวติดตั้งจะตรวจสอบให้แน่ใจว่าโปรแกรมจะเปิดโดยอัตโนมัติหลังจากรีบูตเครื่อง โดยการฝังอาร์กิวเมนต์บรรทัดคำสั่ง (--cm) ไว้ในรีจิสทรี อาร์กิวเมนต์เหล่านี้ช่วยให้มัลแวร์สามารถรับคำสั่งสำหรับการดำเนินการรูทีนที่เป็นอันตรายต่างๆ ได้

ไทม์ไลน์ของการโจมตี

ผลการสืบสวนชี้ให้เห็นว่าการรณรงค์นี้เริ่มต้นขึ้นในวันที่ 26 มิถุนายน 2568 ซึ่งตรงกับการลงทะเบียนเว็บไซต์ปลอมแปลงหลายแห่ง และการเปิดตัวแคมเปญโฆษณาของ Google อย่างน้อย 5 แคมเปญที่โปรโมตโปรแกรมแก้ไข PDF ในตอนแรก โปรแกรมดูเหมือนจะไม่เป็นอันตราย แต่ถูกออกแบบมาเพื่อตรวจสอบการอัปเดตจากเซิร์ฟเวอร์ระยะไกลซ้ำๆ

ในวันที่ 21 สิงหาคม 2025 เกือบสองเดือนต่อมา เครื่องที่ติดไวรัสเริ่มได้รับคำสั่งที่เปิดใช้งานเพย์โหลดที่เป็นอันตรายของ TamperedChef วิธีการแบบเป็นขั้นตอนนี้ทำให้ผู้โจมตีสามารถเพิ่มจำนวนเหยื่อให้ได้มากที่สุดก่อนที่จะเปิดใช้งานมัลแวร์

ความสามารถที่เป็นอันตรายของ TamperedChef

เมื่อเปิดใช้งานแล้ว TamperedChef จะทำการตรวจสอบโดยการระบุเครื่องมือรักษาความปลอดภัยที่ติดตั้งและบังคับปิดเว็บเบราว์เซอร์ ซึ่งจะทำให้สามารถเข้าถึงข้อมูลสำคัญ เช่น ข้อมูลประจำตัวที่จัดเก็บไว้และคุกกี้ได้

การวิเคราะห์เพิ่มเติมเผยให้เห็นว่าโปรแกรมแก้ไขที่แฝงมัลแวร์ยังทำหน้าที่เป็นช่องทางลับที่มีตัวเลือกบรรทัดคำสั่งหลายแบบ ซึ่งช่วยให้สามารถคงอยู่ได้ ทำการล้างข้อมูล สื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) และจัดการข้อมูลเบราว์เซอร์ได้

ฟังก์ชันหลักที่ระบุ:

--install: สร้างงานที่กำหนดเวลาไว้ (PDFEditorScheduledTask, PDFEditorUScheduledTask) ที่ทำงานโดยมีอาร์กิวเมนต์การอัปเดตและการสำรองข้อมูลเพื่อทริกเกอร์การดำเนินการตรวจสอบและ ping

--cleanup: ดำเนินการโดยโปรแกรมถอนการติดตั้งเพื่อลบส่วนประกอบแบ็คดอร์ ยกเลิกการลงทะเบียนโฮสต์ และลบงานที่กำหนดเวลาไว้

--ping: สร้างการสื่อสาร C2 เพื่อรับคำสั่งในการดาวน์โหลดมัลแวร์เพิ่มเติม เปลี่ยนแปลงรีจิสทรี และขโมยข้อมูล

--ตรวจสอบ: ติดต่อ C2 เพื่ออัปเดตการกำหนดค่า ขโมยข้อมูลประจำตัว อ่านคีย์เบราว์เซอร์ และแก้ไขเบราว์เซอร์ Chromium OneLaunch และ Wave

--reboot: คล้ายกับ --check แต่ยังสามารถยุติกระบวนการเฉพาะได้อีกด้วย

การใช้กลยุทธ์ในทางที่ผิดของแคมเปญโฆษณา

การเลือกช่วงเวลาของผู้โจมตีนั้นโดดเด่นมาก ความล่าช้า 56 วันระหว่างการเปิดตัวแคมเปญและการเปิดใช้งานที่เป็นอันตรายนั้นใกล้เคียงกับระยะเวลา 60 วันของแคมเปญโฆษณาของ Google ซึ่งชี้ให้เห็นว่าผู้โจมตีจงใจปล่อยให้โฆษณาทำงานจนครบกำหนด เพื่อเพิ่มจำนวนผู้ชมและยอดดาวน์โหลดสูงสุด ก่อนที่จะปลดปล่อยศักยภาพทั้งหมดของ TamperedChef