Киберпрестъпници използват фалшиви инсталатори, маскирани като популярни приложения, за да измамят потребителите и да инсталират зловреден софтуер. Кампанията, наречена TamperedChef, има за цел да установи постоянен достъп и да достави JavaScript малуер, който позволява дистанционно управление на засегнатите устройства, съобщава Acronis Threat Research Unit (TRU).

Кампанията е все още активна, като нови артефакти и инфраструктура продължават да бъдат откривани.

„Операторите разчитат на социално инженерство чрез ежедневни имена на приложения, malvertising, SEO и злоупотреба с цифрови сертификати, за да увеличат доверието на потребителите и да избегнат откриване от защитните системи“, обясняват изследователите Дарел Виртузао и Йозеф Гегени.

Как работи TamperedChef

TamperedChef е част от по-широк набор атаки, кодирани като EvilAI, които използват примамки, свързани с ИИ инструменти и софтуер, за разпространение на малуер.

За да придадат на фалшивите приложения вид на легитимни, атакуващите използват:

• Код-подписващи сертификати, издадени за фиктивни компании в САЩ, Панама и Малайзия

• Нови сертификати под различни имена, след като старите бъдат анулирани

Според Acronis, инфраструктурата е индустриализирана и бизнесоподобна, позволявайки бързо издаване на нови сертификати и използване на доверието към подписаните приложения, за да се прикрие зловредният софтуер като легитимен.

Механизъм на атака

Типичната атака протича по следния начин:

1. Потребител търси PDF редактори или продуктови ръководства в търсачки като Bing.

2. Показват се зловредни реклами или заразени URL адреси, които отвеждат към манипулирани домейни, регистрирани в NameCheap.

3. След изпълнение на инсталатора, потребителят приема лицензионните условия и вижда благодарствено съобщение, докато на заден план се създава XML файл, който стартира JavaScript бекдор чрез планирана задача.

Бекдорът се свързва с външен сървър, като изпраща метаданни за сесията и устройството, кодирани в JSON и криптирани по HTTPS.

Възможни цели и засегнати сектори

Целите на кампанията включват:

• Рекламна измама и финансови печалби

• Продажба на достъп или чувствителни данни на киберпрестъпници

Телеметричните данни показват, че най-засегнати са САЩ, следвани от Израел, Испания, Германия, Индия и Ирландия.
Най-уязвими сектори са:

• Здравеопазване

• Строителство

• Производство

„Тези индустрии са особено уязвими, тъй като често използват техническо оборудване и потребителите търсят онлайн ръководства – поведение, което TamperedChef експлоатира“, отбелязват изследователите.