TamperedChef恶意软件
攻击者利用伪装成常用应用程序的虚假安装程序,发起了一场名为 TamperedChef 的全球恶意广告活动。下载这些伪造程序的用户会在不知不觉中安装恶意软件,这些恶意软件旨在持久驻留在用户系统中,并部署 JavaScript 后门以实现远程访问和控制。截至发稿时,该活动仍在进行,检测到了新的恶意程序,相关基础设施也仍在运行。
目录
社会工程和信任利用
TamperedChef 的幕后操纵者利用社会工程学技巧来最大限度地提高用户信任度并逃避检测。他们的手段包括:
- 使用熟悉的应用程序名称来吸引下载
- 投放恶意广告活动,通过在线广告触达用户
- 运用搜索引擎优化 (SEO) 策略来提升在搜索结果中的排名
- 使用被滥用的数字证书对恶意软件进行签名,使其看起来合法。
证书通常颁发给在美国、巴拿马和马来西亚注册的空壳公司。随着旧证书被吊销,攻击者会不断以不同的公司名称获取新证书,从而维持其合法性的假象。信息安全专家指出,这种基础设施组织严密,能够持续生成看似可信的安装程序。
恶意软件家族和攻击活动背景
TamperedChef 是代号为 EvilAI 的大型恶意软件传播活动的一部分,该活动利用与人工智能 (AI) 工具和软件相关的诱饵来传播恶意软件。虽然 TamperedChef 本身已成为该恶意软件家族的通用名称,但在一些报告中,它也被称为 BaoLoader。尽管 TamperedChef 与最初嵌入恶意食谱应用程序中的 TamperedChef 恶意软件有所不同,但使用 TamperedChef 这个名称有助于在网络安全出版物和厂商检测中保持一致性。
袭击是如何展开的
典型的攻击场景包括:
- 用户在搜索引擎上搜索 PDF 编辑器或产品手册时,会被引导至恶意 URL 或恶意广告。
- 点击这些链接会将用户重定向到带有陷阱的域名(通常通过 NameCheap 注册),诱使他们下载虚假安装程序。
- 安装程序会要求用户同意标准许可条款,然后在新的浏览器标签页中打开一个感谢页面,以维持这种欺骗行为。
此次攻击的最终目标尚不明确。一些恶意软件变种用于广告欺诈,而另一些则可能通过向网络犯罪分子出售访问权限或收集敏感数据供地下论坛使用而获利。
地理和行业影响
遥测数据显示,美国用户受影响最大,以色列、西班牙、德国、印度和爱尔兰也报告了感染病例。受影响最严重的行业包括医疗保健、建筑和制造业,这可能是因为这些行业经常依赖专用设备,并且会在线搜索产品手册,而攻击者正是利用了这些漏洞。
