TamperedChef Malware

Pinagsasamantalahan ng mga banta ng aktor ang mga huwad na installer na nagpapanggap bilang malawakang ginagamit na mga application sa isang pandaigdigang kampanyang malvertising na kilala bilang TamperedChef. Ang mga user na nagda-download ng mga pekeng program na ito ay hindi sinasadyang nag-install ng malware na idinisenyo upang magtatag ng pagtitiyaga sa kanilang mga system at mag-deploy ng JavaScript backdoor para sa malayuang pag-access at kontrol. Sa oras ng pag-uulat, nanatiling aktibo ang kampanya, na may mga bagong malisyosong artifact na nakita at ang nauugnay na imprastraktura ay gumagana pa rin.

Social Engineering at Trust Exploitation

Ang mga operator sa likod ng TamperedChef ay gumagamit ng mga diskarte sa social engineering upang i-maximize ang tiwala ng user at maiwasan ang pagtuklas. Kasama sa kanilang mga pamamaraan ang:

• Paggamit ng mga pamilyar na pangalan ng application upang maakit ang mga pag-download
• Pag-deploy ng mga kampanyang malvertising upang maabot ang mga user sa pamamagitan ng mga online na ad
• Gumagamit ng mga taktika ng Search Engine Optimization (SEO) upang lumabas sa mga resulta ng paghahanap
• Ang pag-sign ng malware gamit ang mga inabusong digital na certificate, na nagbibigay-daan sa pagiging lehitimo

Kadalasang ibinibigay ang mga sertipiko sa mga kumpanyang shell na nakarehistro sa US, Panama, at Malaysia. Habang binabawi ang mga lumang certificate, patuloy na nakakakuha ang mga umaatake ng mga bago sa ilalim ng iba't ibang pangalan ng kumpanya, na pinapanatili ang hitsura ng pagiging lehitimo. Inilarawan ng mga eksperto sa Infosec ang imprastraktura na ito bilang lubos na organisado, na nagbibigay-daan sa tuluy-tuloy na produksyon ng mga pinagkakatiwalaang mukhang installer.

Pamilya ng Malware at Konteksto ng Kampanya

Ang TamperedChef ay bahagi ng mas malaking campaign na may codenaming EvilAI, na gumagamit ng mga pang-akit na nakatali sa mga tool at software ng artificial intelligence (AI) para sa pamamahagi ng malware. Habang ang TamperedChef mismo ay naging malawak na pinagtibay na pangalan para sa pamilya ng malware, sinusubaybayan din ito bilang BaoLoader sa ilang mga ulat. Nakakatulong ang pangalang TamperedChef na mapanatili ang pagkakapare-pareho sa mga publication ng cybersecurity at pagtukoy ng vendor, kahit na naiiba ito sa orihinal na TamperedChef malware na naka-embed sa isang nakakahamak na application ng recipe.

Paano Lumaganap ang Pag-atake

Kasama sa karaniwang senaryo ng pag-atake ang:

• Ang mga user na naghahanap ng mga PDF editor o mga manwal ng produkto sa mga search engine ay inihahatid ng mga nakalalasong URL o nakakahamak na ad.
• Ang pag-click sa mga link na ito ay nagre-redirect ng mga user sa mga domain na na-trap ng booby, na kadalasang nakarehistro sa pamamagitan ng NameCheap, na nag-uudyok sa kanila na mag-download ng pekeng installer.
• Hinihiling ng installer ang mga user na sumang-ayon sa mga karaniwang tuntunin sa paglilisensya, pagkatapos ay magbubukas ng pahina ng pasasalamat sa isang bagong tab ng browser upang mapanatili ang ruse.

Ang mga layunin sa pagtatapos ng kampanya ay nananatiling hindi malinaw. Pinapadali ng ilang variant ng malware ang pandaraya sa advertising, habang ang iba ay maaaring pagkakitaan sa pamamagitan ng pag-access na ibinebenta sa mga cybercriminal o sa pamamagitan ng pag-aani ng sensitibong data para sa mga underground na forum.

Epekto sa Heograpiya at Sektor

Isinasaad ng Telemetry na ang mga user ng US ang pinaka-apektado, na may mga karagdagang impeksiyon na iniulat sa Israel, Spain, Germany, India, at Ireland. Ang mga sektor na pinakanaapektuhan ay kinabibilangan ng pangangalagang pangkalusugan, konstruksiyon, at pagmamanupaktura, malamang dahil sa kanilang madalas na pag-asa sa mga espesyal na kagamitan at online na paghahanap para sa mga manual ng produkto, na pinagsasamantalahan ng mga umaatake.