TamperedChef Kötü Amaçlı Yazılımı

Tehdit aktörleri, TamperedChef olarak bilinen küresel bir kötü amaçlı yazılım reklamcılığı kampanyasında, yaygın olarak kullanılan uygulamalar gibi görünen sahte yükleyicileri kullanıyor. Bu sahte programları indiren kullanıcılar, sistemlerinde kalıcılık sağlamak ve uzaktan erişim ve kontrol için bir JavaScript arka kapısı açmak üzere tasarlanmış kötü amaçlı yazılımları istemeden yüklüyor. Raporlama sırasında, kampanya aktif durumdaydı ve yeni kötü amaçlı yazılımlar tespit edildi ve ilgili altyapı hala çalışır durumdaydı.

Sosyal Mühendislik ve Güven İstismarı

TamperedChef'in arkasındaki operatörler, kullanıcı güvenini en üst düzeye çıkarmak ve tespit edilmekten kaçınmak için sosyal mühendislik tekniklerinden yararlanıyor. Kullandıkları yöntemler arasında şunlar yer alıyor:

• İndirmeleri teşvik etmek için bilindik uygulama adlarını kullanma
• Çevrimiçi reklamlar aracılığıyla kullanıcılara ulaşmak için kötü amaçlı reklam kampanyaları yürütmek
• Arama sonuçlarında görünmek için Arama Motoru Optimizasyonu (SEO) taktiklerini kullanma
• Kötüye kullanılan dijital sertifikalarla kötü amaçlı yazılımları imzalamak, meşruiyet havası katıyor

Sertifikalar genellikle ABD, Panama ve Malezya'da kayıtlı sahte şirketlere verilir. Eski sertifikalar iptal edildikçe, saldırganlar farklı şirket adları altında sürekli olarak yeni sertifikalar edinerek meşruiyet imajını korurlar. Bilgi güvenliği uzmanları, bu altyapının son derece düzenli olduğunu ve güvenilir görünen kurulumcuların sürekli olarak üretilmesini sağladığını belirtmektedir.

Kötü Amaçlı Yazılım Ailesi ve Kampanya Bağlamı

TamperedChef, kötü amaçlı yazılım dağıtımı için yapay zekâ (YZ) araçları ve yazılımlarına bağlı tuzaklar kullanan EvilAI kod adlı daha büyük bir kampanyanın parçasıdır. TamperedChef, kötü amaçlı yazılım ailesi için yaygın olarak kullanılan bir isim haline gelmiş olsa da, bazı raporlarda BaoLoader olarak da takip edilmektedir. TamperedChef adı, kötü amaçlı bir tarif uygulamasına yerleştirilmiş orijinal TamperedChef kötü amaçlı yazılımından farklı olsa da, siber güvenlik yayınları ve satıcı tespitlerinde tutarlılığın korunmasına yardımcı olur.

Saldırı Nasıl Gerçekleşiyor?

Tipik bir saldırı senaryosu şunları içerir:

• Arama motorlarında PDF editörleri veya ürün kılavuzları arayan kullanıcılara zehirli URL'ler veya kötü amaçlı reklamlar gösteriliyor.
• Bu bağlantılara tıklayan kullanıcılar, çoğunlukla NameCheap aracılığıyla kaydedilen tuzaklı alan adlarına yönlendiriliyor ve sahte bir yükleyici indirmeleri isteniyor.
• Yükleyici, kullanıcıların standart lisans koşullarını kabul etmelerini istiyor, ardından hileyi sürdürmek için yeni bir tarayıcı sekmesinde bir teşekkür sayfası açıyor.

• Arka planda bir XML dosyası bırakılır ve bu da gizlenmiş bir JavaScript arka kapısını başlatan zamanlanmış bir görev oluşturur.

• Arka kapı, HTTPS üzerinden şifrelenmiş Base64 JSON'da kodlanmış oturum kimliği ve makine kimliği gibi sistem meta verilerini ileterek harici sunucularla iletişim kurar.

Kampanyanın nihai hedefleri henüz belirsizliğini koruyor. Bazı kötü amaçlı yazılım türleri reklam dolandırıcılığını kolaylaştırırken, diğerleri siber suçlulara satılan erişimler veya yeraltı forumları için hassas veriler toplayarak para kazanabilir.

Coğrafi ve Sektörel Etki

Telemetri, ABD'li kullanıcıların en çok etkilenenler olduğunu ve İsrail, İspanya, Almanya, Hindistan ve İrlanda'da ek enfeksiyon vakaları bildirildiğini gösteriyor. En çok etkilenen sektörler arasında sağlık, inşaat ve imalat sektörleri yer alıyor. Bu sektörler, saldırganların istismar ettiği özel ekipmanlara ve ürün kılavuzları için çevrimiçi aramalara sıklıkla başvurmaları nedeniyle muhtemelen bu sektörler arasında yer alıyor.