Μια νέα παγκόσμια καμπάνια hacking που παρακολουθείται καθώς το TamperedChef έχει εμφανιστεί, εκμεταλλευόμενη καθημερινά ονόματα λογισμικού για να εξαπατήσει τους χρήστες να εγκαταστήσουν κακόβουλες εφαρμογές που παρέχουν εργαλεία απομακρυσμένης πρόσβασης.
Η καμπάνια χρησιμοποιεί πλαστά προγράμματα εγκατάστασης που μεταμφιέζονται ως κοινά προγράμματα, όπως μη αυτόματες συσκευές ανάγνωσης, προγράμματα επεξεργασίας PDF και παιχνίδια, όλα εξοπλισμένα με έγκυρα πιστοποιητικά υπογραφής κώδικα για να φαίνονται νόμιμα.
Αυτές οι εφαρμογές διανέμονται μέσω τεχνικών κακόβουλης διαφήμισης και βελτιστοποίησης μηχανών αναζήτησης, καθιστώντας τις εύκολα ανιχνεύσιμες από ανυποψίαστους χρήστες που αναζητούν καθημερινά εργαλεία ή εγχειρίδια προϊόντων στο διαδίκτυο.
Οι εισβολείς πίσω από το TamperedChef έχουν δημιουργήσει μια επιχείρηση βιομηχανικής κλίμακας χρησιμοποιώντας ένα δίκτυο εταιρειών κελύφους εγγεγραμμένες στις ΗΠΑ για την απόκτηση πιστοποιητικών Extended Validation.
Αυτά τα αναλώσιμα μέτωπα επιτρέπουν στους παράγοντες της απειλής να υπογράφουν τις ψεύτικες εφαρμογές τους με αξιόπιστα πιστοποιητικά, κάτι που τους βοηθά να παρακάμψουν τις άμυνες ασφαλείας και να κερδίσουν την εμπιστοσύνη των χρηστών.
Μόλις επισημανθεί ή ανακληθεί ένα πιστοποιητικό, οι χειριστές εγγράφουν γρήγορα νέες εταιρείες κέλυφος με γενικές ονομασίες όπως “Digital Marketing” για να διατηρούν συνεχείς λειτουργίες και να διατηρούν το κακόβουλο λογισμικό τους να φαίνεται νόμιμο.
Ερευνητές ασφαλείας Acronis αναγνωρισθείς την εκστρατεία τον Ιούνιο του 2025, αν και τα στοιχεία υποδηλώνουν προηγούμενη δραστηριότητα. Η επιχείρηση επηρεάζει κυρίως θύματα στην Αμερική, με περίπου το 80 τοις εκατό να συγκεντρώνεται στις Ηνωμένες Πολιτείες, αν και η παγκόσμια υποδομή δείχνει μια ευρεία προσέγγιση και όχι στοχευμένη περιφερειακή εστίαση.
Οι τομείς της υγειονομικής περίθαλψης, των κατασκευών και της μεταποίησης εμφανίζουν την υψηλότερη συγκέντρωση λοιμώξεων, πιθανότατα επειδή οι χρήστες σε αυτές τις βιομηχανίες αναζητούν συχνά στο διαδίκτυο για εξειδικευμένα εγχειρίδια εξοπλισμού, μια από τις συμπεριφορές που εκμεταλλεύεται το TamperedChef.
.webp.jpeg)
Η αλυσίδα επιθέσεων του κακόβουλου λογισμικού ξεκινά όταν οι χρήστες κατεβάζουν ψεύτικες εφαρμογές από κακόβουλους ιστότοπους που εμφανίζονται στα αποτελέσματα αναζήτησης ή στις διαφημίσεις.
Μετά την εγκατάσταση, αυτές οι εφαρμογές αφήνουν ένα αρχείο διαμόρφωσης XML που χρησιμοποιείται για τη δημιουργία μιας προγραμματισμένης εργασίας για επιμονή. Αυτή η εργασία εκτελεί ένα πολύ ασαφές ωφέλιμο φορτίο JavaScript που λειτουργεί ως κερκόπορτα, δημιουργώντας επικοινωνία με διακομιστές εντολών και ελέγχου μέσω HTTPS.
Το ωφέλιμο φορτίο JavaScript κρυπτογραφεί δεδομένα χρησιμοποιώντας κρυπτογράφηση XOR με ένα τυχαίο κλειδί 16 byte πριν τα κωδικοποιήσει με το base64 για μετάδοση.
Αλυσίδα μόλυνσης και Μηχανισμός Εμμονής
Η διαδικασία μόλυνσης από το TamperedChef ακολουθεί μια αλυσίδα εκτέλεσης πολλαπλών σταδίων που έχει σχεδιαστεί για να αποφεύγει την ανίχνευση, διατηρώντας παράλληλα τη μόνιμη πρόσβαση.
Όταν οι χρήστες εκτελούν το ληφθέν πρόγραμμα εγκατάστασης, αντιμετωπίζουν ένα τυπικό παράθυρο συμφωνίας άδειας χρήσης που μιμείται τη νόμιμη εγκατάσταση λογισμικού.
Κατά την εγκατάσταση, το κακόβουλο λογισμικό τοποθετεί ένα αρχείο με το όνομα “task.xml” είτε στον προσωρινό κατάλογο του προγράμματος εγκατάστασης είτε στον κατάλογο εγκατάστασης του προγράμματος στο %APPDATA%\Programs\[Fake Application Name].
.webp.png)
Αυτό το αρχείο XML χρησιμεύει ως διαμόρφωση για τη δημιουργία μιας προγραμματισμένης εργασίας χρησιμοποιώντας την εντολή: schtasks /Create /tn "Scheduled Daily Task" /xml "%APPDATA%\Local\Programs\AnyProductManual\task.xml".
Η εργασία εκτελείται αμέσως μετά τη δημιουργία και επαναλαμβάνεται κάθε 24 ώρες με τυχαία καθυστέρηση έως και 30 λεπτά.
Αυτή η διαμόρφωση επιτρέπει εκτεταμένους χρόνους εκτέλεσης, αποκλείει πολλές ταυτόχρονες εμφανίσεις και εκτελεί αυτόματα τυχόν χαμένα χρονοδιαγράμματα, διασφαλίζοντας ότι το ωφέλιμο φορτίο JavaScript εκτελείται με συνέπεια χωρίς να δημιουργεί υποψίες.
Το ίδιο το ωφέλιμο φορτίο JavaScript είναι πολύ ασαφές χρησιμοποιώντας εργαλεία από το obfuscator.io, εφαρμόζοντας πολλαπλές τεχνικές, όπως μετονομασία συμβολοσειρών και συναρτήσεων, ισοπέδωση ροής ελέγχου και έγχυση νεκρού κώδικα.
Μόλις εκτελεστεί, το κακόβουλο λογισμικό δημιουργεί επικοινωνία με σκληρά κωδικοποιημένους διακομιστές εντολών και ελέγχου που εξελίχθηκαν από τυχαίες συμβολοσειρές που δημιουργήθηκαν από τομέα σε πιο αναγνωρίσιμα ονόματα τομέα για να συνδυάζονται με την κανονική κίνηση δικτύου.
Το ωφέλιμο φορτίο δημιουργεί ένα αναγνωριστικό μηχανής σε συσκευές δακτυλικών αποτυπωμάτων και εκτελεί λειτουργίες μητρώου για αναγνώριση συστήματος.
Το κακόβουλο λογισμικό στέλνει κρυπτογραφημένα αντικείμενα JSON που περιέχουν ονόματα συμβάντων, αναγνωριστικά περιόδου λειτουργίας, αναγνωριστικά μηχανήματος και μεταδεδομένα στον διακομιστή C2. Διαθέτει επίσης δυνατότητες απομακρυσμένης εκτέλεσης κώδικα, επιτρέποντας στους εισβολείς να εκτελούν εντολές σε παραβιασμένα συστήματα.
Η υποδομή της καμπάνιας βασίζεται στο NameCheap για εγγραφή τομέα με περιόδους εγγραφής ενός έτους και προστασία απορρήτου τομέα για απόκρυψη ιδιοκτησίας, επιτρέποντας τη γρήγορη ανοικοδόμηση της υποδομής μετά από καταργήσεις.
Πρόσφατες ανακαλύψεις δείχνουν ότι η επιχείρηση συνεχίζει να επεκτείνεται με νέες υπογράφοντες εταιρείες κελύφους, συμπεριλαμβανομένων των Stratus Core Digital LLC, DataX Engine LLC και Nova Sphere Systems LLC, ακολουθώντας όλα τα ίδια μοτίβα επίθεσης.
