Phần mềm độc hại TamperedChef

Các tác nhân đe dọa đang khai thác các trình cài đặt giả mạo, ngụy trang thành các ứng dụng được sử dụng rộng rãi trong một chiến dịch quảng cáo độc hại toàn cầu mang tên TamperedChef. Người dùng tải xuống các chương trình giả mạo này sẽ vô tình cài đặt phần mềm độc hại được thiết kế để duy trì hoạt động trên hệ thống của họ và triển khai một cửa hậu JavaScript để truy cập và kiểm soát từ xa. Tại thời điểm báo cáo, chiến dịch vẫn đang hoạt động, với các hiện vật độc hại mới được phát hiện và cơ sở hạ tầng liên quan vẫn hoạt động.

Kỹ thuật xã hội và khai thác lòng tin

Những kẻ đứng sau TamperedChef lợi dụng các kỹ thuật tấn công mạng xã hội để tối đa hóa lòng tin của người dùng và tránh bị phát hiện. Các phương pháp của chúng bao gồm:

• Sử dụng tên ứng dụng quen thuộc để thu hút lượt tải xuống
• Triển khai các chiến dịch quảng cáo độc hại để tiếp cận người dùng thông qua quảng cáo trực tuyến
• Sử dụng các chiến thuật Tối ưu hóa công cụ tìm kiếm (SEO) để xuất hiện trong kết quả tìm kiếm
• Ký phần mềm độc hại bằng chứng chỉ số bị lạm dụng, mang lại cảm giác hợp pháp

Chứng chỉ thường được cấp cho các công ty vỏ bọc đăng ký tại Hoa Kỳ, Panama và Malaysia. Khi các chứng chỉ cũ bị thu hồi, kẻ tấn công liên tục lấy các chứng chỉ mới dưới nhiều tên công ty khác nhau, duy trì vẻ ngoài hợp pháp. Các chuyên gia an ninh thông tin mô tả cơ sở hạ tầng này được tổ chức rất chặt chẽ, cho phép sản xuất liên tục các trình cài đặt trông có vẻ đáng tin cậy.

Nhóm phần mềm độc hại và bối cảnh chiến dịch

TamperedChef là một phần của chiến dịch lớn hơn có tên mã là EvilAI, sử dụng các mồi nhử liên quan đến công cụ và phần mềm trí tuệ nhân tạo (AI) để phát tán phần mềm độc hại. Mặc dù TamperedChef đã trở thành cái tên được sử dụng rộng rãi cho họ phần mềm độc hại này, nhưng nó cũng được theo dõi dưới tên BaoLoader trong một số báo cáo. Cái tên TamperedChef giúp duy trì tính nhất quán trên các ấn phẩm an ninh mạng và phát hiện của nhà cung cấp, mặc dù nó khác với phần mềm độc hại TamperedChef ban đầu được nhúng trong một ứng dụng công thức nấu ăn độc hại.

Cuộc tấn công diễn ra như thế nào

Một kịch bản tấn công điển hình bao gồm:

• Người dùng tìm kiếm trình chỉnh sửa PDF hoặc hướng dẫn sử dụng sản phẩm trên công cụ tìm kiếm sẽ thấy các URL độc hại hoặc quảng cáo độc hại.
• Khi nhấp vào các liên kết này, người dùng sẽ được chuyển hướng đến các tên miền có bẫy, thường được đăng ký qua NameCheap, yêu cầu họ tải xuống trình cài đặt giả mạo.
• Trình cài đặt yêu cầu người dùng đồng ý với các điều khoản cấp phép tiêu chuẩn, sau đó mở một trang cảm ơn trong một tab trình duyệt mới để duy trì thủ đoạn này.

• Ở chế độ nền, một tệp XML sẽ được thả ra, tạo ra một tác vụ theo lịch trình để khởi chạy một cửa hậu JavaScript bị che giấu.

• Cửa hậu giao tiếp với các máy chủ bên ngoài, truyền siêu dữ liệu hệ thống, chẳng hạn như ID phiên và ID máy, được mã hóa trong JSON Base64 được mã hóa qua HTTPS.

Mục tiêu cuối cùng của chiến dịch vẫn chưa rõ ràng. Một số biến thể phần mềm độc hại tạo điều kiện cho gian lận quảng cáo, trong khi một số khác có thể được kiếm tiền thông qua việc bán quyền truy cập cho tội phạm mạng hoặc thu thập dữ liệu nhạy cảm cho các diễn đàn ngầm.

Tác động về mặt địa lý và ngành

Dữ liệu từ xa cho thấy người dùng tại Hoa Kỳ bị ảnh hưởng nhiều nhất, với các ca nhiễm bổ sung được báo cáo tại Israel, Tây Ban Nha, Đức, Ấn Độ và Ireland. Các lĩnh vực bị ảnh hưởng nhiều nhất bao gồm chăm sóc sức khỏe, xây dựng và sản xuất, có thể là do họ thường xuyên phụ thuộc vào thiết bị chuyên dụng và tìm kiếm hướng dẫn sử dụng sản phẩm trực tuyến, những thứ mà kẻ tấn công thường khai thác.