TamperedChef малициозен софтвер се шири преку лажни инсталери во тековна глобална кампања

Заканувачки актери користат лажни инсталери кои се претставуваат како популарен софтвер за да ги измамат корисниците да инсталираат малициозен софтвер како дел од глобална малвертајзинг кампања наречена TamperedChef.

Крајната цел на нападите е да се воспостави перзистентност и да се испорача JavaScript малициозен софтвер кој овозможува далечински пристап и контрола, според новиот извештај на единицата за истражување на закани Acronis TRU. Кампањата, според компанијата со седиште во Сингапур, сè уште е активна, со откривање нови артефакти и активна поврзана инфраструктура.

„Операторите се потпираат на социјален инженеринг користејќи имиња на секојдневни апликации, малвертајзинг, оптимизација за пребарувачи (SEO) и злоупотребени дигитални сертификати кои имаат цел да ја зголемат довербата на корисниците и да ја избегнат безбедносната детекција,“ изјавија истражувачите Дарел Виртусио и Јожеф Гегени.

TamperedChef е името доделено на долготрајна кампања која користи привидно легитимни инсталери за различни алатки за да дистрибуира инфостилер малициозен софтвер со истото име. Се смета дека е дел од поширок сет напади со кодно име EvilAI, кои користат намами поврзани со алатки и софтвер за вештачка интелигенција за ширење на малициозен софтвер.

За да им дадат на овие лажни апликации привид на легитимност, напаѓачите користат сертификати за потпис на код издадени на лажни компании регистрирани во САД, Панама и Малезија, и добиваат нови сертификати под различни имиња на компании кога старите ќе бидат поништени.

Acronis ја опиша инфраструктурата како „индустријализирана и деловно ориентирана“, овозможувајќи им на операторите постојано да произведуваат нови сертификати и да ја искористат довербата што ја имаат потпишаните апликации за да го прикријат малициозниот софтвер како легитимен.

Важно е да се напомене дека малициозниот софтвер следен како TamperedChef од Truesec и G DATA исто така е познат како BaoLoader од Expel, и се разликува од оригиналниот TamperedChef кој беше вграден во малициозна апликација за рецепти дистрибуирана како дел од кампањата EvilAI.

Acronis за The Hacker News изјави дека го користи името TamperedChef за да се однесува на целото семејство на малициозен софтвер, бидејќи тоа име веќе е широко прифатено во сајбер-безбедносната заедница. „Ова помага да се избегне конфузија и да се задржи конзистентност со постоечките публикации и имиња за детекција што ги користат други добавувачи, кои исто така се однесуваат на ова семејство малициозен софтвер како TamperedChef,“ рекоа од компанијата.

Типичен напад се одвива вака: Корисници кои бараат PDF уредувачи или упатства за производи на пребарувачи како Bing добиваат малициозни реклами или „отровни“ URL-адреси. Кога ќе кликнат на нив, се пренасочуваат кон злонамерни домени регистрирани на NameCheap кои ги измамуваат да ги преземат инсталерите.

Откако ќе го извршат инсталерот, корисниците се замолени да се согласат со лиценцните услови на програмата. Потоа, инсталерот отвора нов таб во прелистувачот за да прикаже порака за благодарност веднаш по завршување на инсталацијата, за да се задржи измамата. Но во позадина, се спушта XML датотека која креира закажана задача дизајнирана да стартува замаглен JavaScript „backdoor“.

Backdoor-от, за возврат, се поврзува со надворешен сервер и испраќа основни информации, како што се ID на сесија, ID на машина и друга метаподатоци во форма на JSON-стринг кој е енкриптиран и Base64-кодиран преку HTTPS.

Сепак, конечните цели на кампањата остануваат нејасни. Некои варијанти се пронајдени дека овозможуваат измама со рекламирање, што укажува на финансиски мотиви. Можно е и заканувачите да се обидуваат да го монетизираат пристапот продавајќи го на други сајбер-криминалци, или да собираат чувствителни податоци и да ги продаваат на подземни форуми за извршување измами.

Телеметриските податоци покажуваат дека значително висока концентрација на инфекции е забележана во САД, а во помала мера во Израел, Шпанија, Германија, Индија и Ирска. Најпогодени сектори се здравството, градежништвото и производството.

„Овие индустрии изгледа се особено ранливи на ваков тип кампања, веројатно поради нивната зависност од високо специјализирана и техничка опрема, што често ги наведува корисниците да пребаруваат онлајн упатства за производи – едно од однесувањата што ги злоупотребува TamperedChef кампањата,“ забележаа истражувачите.

Извори:

• The Hacker News – TamperedChef Malware Spreads via Fake Software Installers in Ongoing Global Campaign (CVE-2025-11001) The Hacker News