TamperedChef惡意軟體

攻擊者利用偽裝成常用應用程式的虛假安裝程序，發起了一場名為 TamperedChef 的全球惡意廣告活動。下載這些偽造程式的使用者會在不知不覺中安裝惡意軟體，這些惡意軟體旨在持久駐留在使用者係統中，並部署 JavaScript 後門以進行遠端存取和控制。截至發稿時，該活動仍在進行，檢測到了新的惡意程序，相關基礎設施也仍在運作。

社會工程與信任利用

TamperedChef 的幕後操縱者利用社會工程技巧來最大限度地提高用戶信任度並逃避檢測。他們的手段包括：

• 使用熟悉的應用程式名稱來吸引下載
• 投放惡意廣告活動，透過線上廣告觸達用戶
• 運用搜尋引擎優化 (SEO) 策略來提昇在搜尋結果中的排名
• 使用被濫用的數位憑證對惡意軟體進行簽名，使其看起來合法。

證書通常頒發給在美國、巴拿馬和馬來西亞註冊的空殼公司。隨著舊證書被吊銷，攻擊者會不斷以不同的公司名稱取得新證書，從而維持其合法性的假象。資安專家指出，這種基礎設施組織嚴密，能夠持續產生看似可信的安裝程序。

惡意軟體家族和攻擊活動背景

TamperedChef 是代號為 EvilAI 的大型惡意軟體傳播活動的一部分，該活動利用與人工智慧 (AI) 工具和軟體相關的誘餌來傳播惡意軟體。雖然 TamperedChef 本身已成為該惡意軟體家族的通用名稱，但在一些報告中，它也被稱為 BaoLoader。儘管 TamperedChef 與最初嵌入惡意食譜應用程式中的 TamperedChef 惡意軟體有所不同，但使用 TamperedChef 這個名稱有助於在網路安全出版物和建議中保持一致性。

攻擊是如何展開的

典型的攻擊場景包括：

• 當使用者在搜尋引擎上搜尋 PDF 編輯器或產品手冊時，會被引導至惡意 URL 或惡意廣告。
• 點擊這些連結會將使用者重定向到帶有陷阱的網域（通常透過 NameCheap 註冊），誘使他們下載虛假安裝程式。
• 安裝程式會要求使用者同意標準授權條款，然後在新的瀏覽器標籤頁中開啟一個感謝頁面，以維持這種欺騙行為。

此次攻擊的最終目標尚不明確。一些惡意軟體變種用於廣告欺詐，而另一些則可能透過向網路犯罪分子出售存取權或收集敏感資料供地下論壇使用而獲利。

地理和行業影響

遙測數據顯示，美國用戶受影響最大，以色列、西班牙、德國、印度和愛爾蘭也報告了感染病例。受影響最嚴重的行業包括醫療保健、建築和製造業，這可能是因為這些行業經常依賴專用設備，並且會在線上搜尋產品手冊，而攻擊者正是利用了這些漏洞。