Kẻ trộm TamperedChef
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch độc hại lợi dụng quảng cáo trực tuyến lừa đảo để phát tán một phần mềm đánh cắp thông tin mới có tên TamperedChef. Chiến dịch này dựa vào quảng cáo độc hại để dẫn dụ người dùng đến các trang web lừa đảo, nơi họ bị thuyết phục tải xuống một trình chỉnh sửa PDF bị nhiễm trojan.
Mục lục
Trình soạn thảo PDF Trojanized là mồi nhử
Phần mềm giả mạo, được quảng cáo là AppSuite PDF Editor, lừa người dùng cài đặt một công cụ có vẻ hợp pháp. Trong quá trình cài đặt, nạn nhân được cung cấp một thỏa thuận điều khoản dịch vụ, tạo ra ảo giác về tính hợp pháp. Tuy nhiên, đằng sau hậu trường, trình cài đặt sẽ bí mật kết nối đến một máy chủ từ xa để gỡ bỏ ứng dụng chỉnh sửa, đồng thời thay đổi Windows Registry để thiết lập sự tồn tại lâu dài.
Trình cài đặt đảm bảo chương trình tự động khởi chạy sau khi khởi động lại bằng cách nhúng các đối số dòng lệnh (--cm) vào Registry. Các đối số này cho phép phần mềm độc hại nhận được hướng dẫn để thực thi các chương trình độc hại khác nhau.
Dòng thời gian của cuộc tấn công
Các cuộc điều tra cho thấy chiến dịch bắt đầu vào ngày 26 tháng 6 năm 2025, trùng với thời điểm đăng ký một số trang web giả mạo và ra mắt ít nhất năm chiến dịch quảng cáo của Google nhằm quảng bá trình chỉnh sửa PDF. Ban đầu, chương trình có vẻ không mang tính đe dọa, nhưng nó được thiết kế để liên tục kiểm tra các bản cập nhật từ một máy chủ từ xa.
Vào ngày 21 tháng 8 năm 2025, gần hai tháng sau, các máy bị nhiễm bắt đầu nhận được lệnh kích hoạt mã độc TamperedChef. Cách tiếp cận dàn dựng này cho phép kẻ tấn công tối đa hóa số lượng nạn nhân trước khi kích hoạt phần mềm độc hại.
Khả năng độc hại của TamperedChef
Sau khi được kích hoạt, TamperedChef sẽ thực hiện trinh sát bằng cách xác định các công cụ bảo mật đã cài đặt và buộc tắt trình duyệt web. Điều này cho phép nó truy cập vào dữ liệu nhạy cảm như thông tin đăng nhập đã lưu trữ và cookie.
Phân tích sâu hơn cho thấy trình soạn thảo chứa phần mềm độc hại này cũng hoạt động như một cửa hậu với nhiều tùy chọn dòng lệnh. Những tùy chọn này cho phép duy trì, dọn dẹp, giao tiếp với máy chủ chỉ huy và kiểm soát (C2) và thao tác dữ liệu trình duyệt.
Các chức năng chính đã được xác định:
--install: Tạo các tác vụ theo lịch trình (PDFEditorScheduledTask, PDFEditorUScheduledTask) chạy với các đối số cập nhật và sao lưu để kích hoạt các hoạt động kiểm tra và ping.
--cleanup: Được thực hiện bởi trình gỡ cài đặt để xóa các thành phần cửa hậu, hủy đăng ký máy chủ và xóa các tác vụ đã lên lịch.
--ping: Thiết lập giao tiếp C2 để nhận hướng dẫn tải xuống thêm phần mềm độc hại, thay đổi Registry và đánh cắp dữ liệu.
--check: Liên hệ với C2 để cập nhật cấu hình, đánh cắp thông tin đăng nhập, đọc khóa trình duyệt và sửa đổi trình duyệt Chromium, OneLaunch và Wave.
--reboot: Tương tự như --check nhưng cũng có khả năng chấm dứt các tiến trình cụ thể.
Lạm dụng chiến lược các chiến dịch quảng cáo
Việc kẻ tấn công lựa chọn thời điểm rất đáng chú ý. Khoảng thời gian 56 ngày giữa lúc khởi chạy chiến dịch và lúc kích hoạt mã độc gần giống với thời gian trung bình 60 ngày của các chiến dịch quảng cáo Google. Điều này cho thấy kẻ tấn công đã cố tình để quảng cáo chạy hết công suất, tối đa hóa khả năng hiển thị và lượt tải xuống trước khi khai thác hết các tính năng của TamperedChef.
