TamperedChef Hırsızı
Siber güvenlik araştırmacıları, TamperedChef adlı yeni bir bilgi hırsızlığını dağıtmak için aldatıcı çevrimiçi reklamlardan yararlanan kötü amaçlı bir kampanyayı ortaya çıkardı. Operasyon, kullanıcıları sahte sitelere yönlendirmek ve onları truva atı içeren bir PDF düzenleyici indirmeye ikna etmek için kötü amaçlı reklamlara dayanıyor.
İçindekiler
Truva Atı PDF Düzenleyicisi Bir Yem Olarak
AppSuite PDF Editor olarak tanıtılan sahte yazılım, kullanıcıları meşru görünen bir aracı yüklemeye kandırıyor. Kurulum sırasında, mağdurlara meşruiyet yanılsaması yaratan bir hizmet şartları sözleşmesi sunuluyor. Ancak, kurulum programı perde arkasında, düzenleyici uygulamasını kaldırmak için gizlice uzak bir sunucuya bağlanırken, aynı anda Windows Kayıt Defteri'ni değiştirerek kalıcılığı sağlıyor.
Yükleyici, Kayıt Defterine komut satırı argümanlarını (--cm) yerleştirerek programın yeniden başlatmanın ardından otomatik olarak başlatılmasını sağlar. Bu argümanlar, kötü amaçlı yazılımın farklı kötü amaçlı rutinleri yürütmek için talimatlar almasını sağlar.
Saldırının Zaman Çizelgesi
Araştırmalar, kampanyanın 26 Haziran 2025'te, birkaç sahte sitenin kaydedilmesi ve PDF düzenleyiciyi tanıtan en az beş Google reklam kampanyasının başlatılmasıyla aynı zamana denk geldiğini gösteriyor. Program başlangıçta tehdit edici görünmese de, uzak bir sunucudan güncellemeleri tekrar tekrar kontrol edecek şekilde tasarlanmıştı.
Yaklaşık iki ay sonra, 21 Ağustos 2025'te, enfekte olmuş makineler TamperedChef'in kötü amaçlı yazılımını etkinleştiren talimatlar almaya başladı. Bu aşamalı yaklaşım, saldırganların kötü amaçlı yazılımı etkinleştirmeden önce kurban sayısını en üst düzeye çıkarmasına olanak sağladı.
TamperedChef’in Kötü Amaçlı Yetenekleri
TamperedChef etkinleştirildikten sonra, yüklü güvenlik araçlarını belirleyerek ve web tarayıcılarını zorla kapatarak keşif gerçekleştirir. Bu sayede, saklanan kimlik bilgileri ve çerezler gibi hassas verilere erişim sağlar.
Daha detaylı analizler, kötü amaçlı yazılım yüklü düzenleyicinin aynı zamanda birden fazla komut satırı seçeneğiyle bir arka kapı işlevi gördüğünü ortaya koydu. Bu seçenekler, kalıcılığı, temizlemeyi, komut ve kontrol (C2) sunucularıyla iletişimi ve tarayıcı verilerinin işlenmesini mümkün kılıyor.
Belirlenen Temel Fonksiyonlar:
--install: Güncelleme ve yedekleme argümanlarıyla çalışan ve kontrol ve ping işlemlerini tetikleyen zamanlanmış görevler (PDFEditorScheduledTask, PDFEditorUScheduledTask) oluşturur.
--cleanup: Arka kapı bileşenlerini silmek, ana bilgisayarı kayıttan çıkarmak ve zamanlanmış görevleri kaldırmak için kaldırıcı tarafından yürütülür.
--ping: Daha fazla kötü amaçlı yazılım indirmek, Kayıt Defterini değiştirmek ve verileri dışarı aktarmak için talimatlar almak üzere C2 iletişimini kurar.
--check: Yapılandırma güncellemeleri için C2 ile iletişim kurar, kimlik bilgilerini çalar, tarayıcı anahtarlarını okur ve Chromium, OneLaunch ve Wave tarayıcılarını değiştirir.
--reboot: --check'e benzer ancak aynı zamanda belirli süreçleri sonlandırabilir.
Reklam Kampanyalarının Stratejik Kötüye Kullanımı
Saldırganların zamanlama tercihi dikkat çekici. Kampanyanın başlatılması ile kötü amaçlı yazılımın etkinleştirilmesi arasındaki 56 günlük gecikme, Google reklam kampanyalarının tipik 60 günlük ömrüyle oldukça örtüşüyor. Bu, tehdit aktörlerinin reklamların tam sürümde yayınlanmasına izin vererek, TamperedChef'in tüm yeteneklerini devreye sokmadan önce görünürlüğü ve indirme sayısını en üst düzeye çıkardıklarını gösteriyor.
