TamperedChef竊取者

惡意軟體, 偷竊者年Mezo年

翻譯為：

網路安全研究人員發現了一項惡意活動，該活動利用欺騙性線上廣告來傳播一種名為「TamperedChef」的新型資訊竊取程式。該活動依靠惡意廣告將用戶引導至詐騙網站，誘騙用戶下載一個被木馬感染的 PDF 編輯器。

這款名為 AppSuite PDF 編輯器的仿冒軟體會誘騙用戶安裝看似合法的工具。在安裝過程中，受害者會看到一份服務條款協議，給人一種合法性的假象。然而，安裝程式會在後台秘密連接到遠端伺服器，釋放編輯器應用程序，同時修改 Windows 註冊表以建立持久性。

安裝程式透過在登錄中嵌入命令列參數（--cm）來確保程式在重新啟動後自動啟動。這些參數使惡意軟體能夠接收執行不同惡意例程的指令。

調查顯示，該活動始於2025年6月26日，同時，多個假網站註冊，並至少啟動了五個谷歌廣告活動來推廣這款PDF編輯器。最初，該程式看似無害，但它的設計目的是反覆檢查遠端伺服器的更新。

2025年8月21日，也就是將近兩個月後，受感染的機器開始收到啟動TamperedChef惡意負載的指令。這種分階段的攻擊方式使攻擊者能夠在啟用惡意軟體之前最大限度地增加受害者數量。

一旦激活，TamperedChef 就會透過識別已安裝的安全工具並強制關閉 Web 瀏覽器來執行偵察。這使其能夠存取敏感數據，例如儲存的憑證和 Cookie。

進一步分析顯示，該惡意軟體編輯器還具有後門功能，並帶有多個命令列選項。這些選項可實現持久化、清理、與命令和控制 (C2) 伺服器通訊以及操縱瀏覽器資料。

確定的關鍵功能：

--install：建立使用更新和備份參數執行的排程任務（PDFEditorScheduledTask、PDFEditorUScheduledTask）來觸發檢查和 ping 操作。

--cleanup：由卸載程式執行，以清除後門元件、取消註冊主機並刪除排程任務。

--ping：建立 C2 通訊以接收下載更多惡意軟體、更改登錄機碼和外洩資料的指令。

--check：聯絡 C2 以取得設定更新、竊取憑證、讀取瀏覽器金鑰以及修改 Chromium、OneLaunch 和 Wave 瀏覽器。

--reboot：與--check類似，但也能夠終止特定進程。

攻擊者的時機選擇值得關注。從廣告活動發佈到惡意激活，中間間隔了56天，這與Google廣告活動通常60天的生命週期非常接近。這表明，威脅行為者故意讓廣告完全投放，在TamperedChef全面爆發之前，最大限度地提升曝光量和下載量。

搜索