Публикувано на: 2025-11-20 06:06:00 | Източник: thehackernews.com
Актьорите на заплахи използват фалшиви инсталатори, маскирани като популярен софтуер, за да подмамят потребителите да инсталират злонамерен софтуер като част от глобална кампания за злонамерена реклама, наречена TamperedChef.
Крайната цел на атаките е да се установи устойчивост и да се достави злонамерен софтуер на JavaScript, който улеснява отдалечен достъп и контрол, според нов доклад от Acronis Threat Research Unit (TRU). Кампанията, според компанията със седалище в Сингапур, все още продължава, като се откриват нови артефакти и свързаната инфраструктура остава активна.
„Операторът(ите) разчита(т) на социално инженерство, като използва ежедневни имена на приложения, злонамерена реклама, оптимизация за търсачки (SEO) и злоупотребени цифрови сертификати, които имат за цел да увеличат доверието на потребителите и да избегнат откриването на сигурността“, казаха изследователите Дарел Виртусио и Йозеф Гегени.
TamperedChef е името, присвоено на дългогодишна кампания, която е използвала привидно легитимни инсталатори за различни помощни програми за разпространение на зловреден софтуер за крадец на информация със същото име. Оценява се, че е част от по-широк набор от атаки с кодово име EvilAI, които използват примамки, свързани с инструменти и софтуер за изкуствен интелект (AI) за разпространение на зловреден софтуер.
За да придадат легитимност на тези фалшиви приложения, нападателите използват сертификати за подписване на код, издадени от фиктивни компании, регистрирани в САЩ, Панама и Малайзия, за да ги подпишат и придобиват нови под друго име на фирма, тъй като по-старите сертификати се отменят.
Acronis описва инфраструктурата като „индустриализирана и подобна на бизнеса“, като ефективно позволява на операторите постоянно да произвеждат нови сертификати и да използват присъщото доверие, свързано с подписани приложения, за да маскират злонамерения софтуер като легитимен.
На този етап си струва да се отбележи, че злонамереният софтуер, проследен като TamperedChef от Truesec и G DATA, също се нарича BaoLoader от Expel и е различен от оригиналния злонамерен софтуер TamperedChef, който е вграден в злонамерено приложение за рецепти, разпространявано като част от кампанията EvilAI.
Acronis каза пред The Hacker News, че използва TamperedChef за обозначаване на семейството на зловреден софтуер, тъй като той вече е широко възприет от общността за киберсигурност. „Това помага да се избегне объркване и да остане в съответствие със съществуващите публикации и имена за откриване, използвани от други доставчици, които също се отнасят към семейството на зловреден софтуер като TamperedChef“, се казва в съобщението.
Типичната атака протича по следния начин: Потребители, които търсят PDF редактори или ръководства за продукти в търсачки като Bing, получават злонамерени реклами или отровени URL адреси, когато кликнат върху тях, те отвеждат потребителите до блокирани домейни, регистрирани в NameCheap, които ги подвеждат да изтеглят инсталаторите.
След като изпълнят инсталатора, потребителите са подканени да приемат лицензионните условия на програмата. След това стартира нов раздел на браузъра, за да покаже благодарствено съобщение веднага щом инсталацията приключи, за да се запази хитростта. Във фонов режим обаче XML файл се изпуска, за да се създаде планирана задача, която е предназначена да стартира скрит JavaScript backdoor.
Задната вратичка от своя страна се свързва с външен сървър и изпраща основна информация, като идентификатор на сесия, идентификатор на машина и други метаданни под формата на JSON низ, който е криптиран и кодиран с Base64 през HTTPS.
Като се има предвид това, крайните цели на кампанията остават неясни. Установено е, че някои итерации улесняват рекламните измами, което показва техните финансови мотиви. Възможно е също така заплахите да искат да монетизират достъпа си до други киберпрестъпници или да събират чувствителни данни и да ги продават в подземни форуми, за да позволят измами.
Телеметричните данни показват, че значителна концентрация на инфекции е установена в САЩ и в по-малка степен в Израел, Испания, Германия, Индия и Ирландия. Здравеопазването, строителството и производството са най-засегнатите сектори.
„Тези индустрии изглеждат особено уязвими към този тип кампании, вероятно поради зависимостта им от тясно специализирано и техническо оборудване, което често подтиква потребителите да търсят онлайн ръководства за продукти – едно от поведенията, използвани от кампанията TamperedChef“, отбелязват изследователите.
Хаштагове: #Зловреден #софтуер #TamperedChef #се #разпространява #чрез #фалшиви #инсталатори #на #софтуер #текуща #глобална #кампания