Шкідливе програмне забезпечення TamperedChef
Зловмисники використовують фальшиві інсталятори, що маскуються під широко використовувані програми, у глобальній кампанії шкідливої реклами під назвою TamperedChef. Користувачі, які завантажують ці підроблені програми, ненавмисно встановлюють шкідливе програмне забезпечення, призначене для забезпечення стійкості в їхніх системах та розгортання бекдору JavaScript для віддаленого доступу та керування. На момент подання звіту кампанія залишалася активною, було виявлено нові шкідливі артефакти, а пов'язана з ними інфраструктура все ще працювала.
Зміст
Соціальна інженерія та експлуатація довіри
Оператори TamperedChef використовують методи соціальної інженерії, щоб максимізувати довіру користувачів та уникнути виявлення. Їхні методи включають:
- Використання знайомих назв програм для залучення завантажень
- Розгортання кампаній зі шкідливою рекламою для охоплення користувачів через онлайн-рекламу
- Використання тактик пошукової оптимізації (SEO) для відображення в результатах пошуку
- Підписання шкідливого програмного забезпечення за допомогою зловмисних цифрових сертифікатів, що надають йому вигляду легітимності
Сертифікати часто видаються фіктивним компаніям, зареєстрованим у США, Панамі та Малайзії. У міру анулювання старих сертифікатів зловмисники постійно отримують нові під іншими назвами компаній, підтримуючи видимість легітимності. Експерти з інформаційної безпеки описали цю інфраструктуру як високоорганізовану, що забезпечує стабільне виробництво надійних інсталяторів.
Сімейство шкідливих програм та контекст кампанії
TamperedChef є частиною більшої кампанії під кодовою назвою EvilAI, яка використовує приманки, пов'язані з інструментами та програмним забезпеченням штучного інтелекту (ШІ) для розповсюдження шкідливого програмного забезпечення. Хоча TamperedChef сама по собі стала широко прийнятою назвою для сімейства шкідливих програм, у деяких звітах вона також відстежується як BaoLoader. Назва TamperedChef допомагає підтримувати узгодженість між публікаціями з кібербезпеки та виявленнями постачальників, хоча вона відрізняється від оригінального шкідливого програмного забезпечення TamperedChef, вбудованого в шкідливий додаток для рецептів.
Як розгортається атака
Типовий сценарій атаки включає:
- Користувачам, які шукають PDF-редактори або посібники з експлуатації продуктів у пошукових системах, показуються заражені URL-адреси або шкідлива реклама.
- Натискання на ці посилання перенаправляє користувачів на шахрайські домени, часто зареєстровані через NameCheap, що спонукає їх завантажити підроблений інсталятор.
- Інсталятор просить користувачів погодитися зі стандартними умовами ліцензування, а потім відкриває сторінку подяки в новій вкладці браузера, щоб підтримувати цю хитрість.
Кінцеві цілі кампанії залишаються незрозумілими. Деякі варіанти шкідливого програмного забезпечення сприяють шахрайству з рекламою, тоді як інші можна монетизувати шляхом продажу доступу кіберзлочинцям або шляхом збору конфіденційних даних для підпільних форумів.
Географічний та секторальний вплив
Телеметрія показує, що користувачі зі США постраждали найбільше, а також про додаткові випадки зараження зареєстровано в Ізраїлі, Іспанії, Німеччині, Індії та Ірландії. Найбільше постраждали такі сектори, як охорона здоров'я, будівництво та виробництво, ймовірно, через їх часту залежність від спеціалізованого обладнання та онлайн-пошук інструкцій з експлуатації продуктів, чим і користуються зловмисники.
