Los actores de amenazas están aprovechando instaladores falsos que se hacen pasar por software popular para engañar a los usuarios para que instalen malware como parte de una campaña global de publicidad maliciosa denominada Chef manipulado.
El objetivo final de los ataques es establecer persistencia y entregar malware JavaScript que facilite el acceso y control remotos, según un nuevo informe de la Unidad de Investigación de Amenazas de Acronis (TRU). La campaña, según la empresa con sede en Singapur, aún está en curso, se detectan nuevos artefactos y la infraestructura asociada permanece activa.
«Los operadores se basan en la ingeniería social mediante el uso de nombres de aplicaciones cotidianas, publicidad maliciosa, optimización de motores de búsqueda (SEO) y certificados digitales abusados que tienen como objetivo aumentar la confianza del usuario y evadir la detección de seguridad», dijeron los investigadores Darrel Virtusio y Jozsef Gegeny.
TamperedChef es el nombre asignado a una campaña de larga duración que ha aprovechado instaladores aparentemente legítimos de varias utilidades para distribuir un malware ladrón de información del mismo nombre. Se considera parte de un conjunto más amplio de ataques con nombre en código EvilAI que utiliza señuelos relacionados con herramientas y software de inteligencia artificial (IA) para la propagación de malware.
Para dar a estas aplicaciones falsificadas una apariencia de legitimidad, los atacantes utilizan certificados de firma de código emitidos por empresas fantasma registradas en EE. UU., Panamá y Malasia para firmarlos, y adquieren otros nuevos con un nombre de empresa diferente a medida que se revocan los certificados más antiguos.
Acronis describió la infraestructura como «industrializada y empresarial», lo que permite efectivamente a los operadores producir constantemente nuevos certificados y explotar la confianza inherente asociada con las aplicaciones firmadas para disfrazar el software malicioso como legítimo.
Vale la pena señalar en esta etapa que el malware rastreado como TamperedChef por Truesec y G DATA también se conoce como BaoLoader por Expel, y es diferente del malware TamperedChef original que estaba integrado dentro de una aplicación de recetas maliciosas distribuida como parte de la campaña EvilAI.
Acronis dijo a The Hacker News que está utilizando TamperedChef para referirse a la familia de malware, ya que ya ha sido ampliamente adoptada por la comunidad de ciberseguridad. «Esto ayuda a evitar confusiones y mantener la coherencia con las publicaciones existentes y los nombres de detección utilizados por otros proveedores, que también se refieren a la familia de malware como TamperedChef», dijo.
Un ataque típico se desarrolla de la siguiente manera: los usuarios que buscan editores de PDF o manuales de productos en motores de búsqueda como Bing reciben anuncios maliciosos o URL envenenadas; cuando hacen clic, llevan a los usuarios a dominios con trampas registradas en NameCheap que los engañan para que descarguen los instaladores.
Una vez que se ejecuta el instalador, se solicita a los usuarios que acepten los términos de la licencia del programa. Luego abre una nueva pestaña del navegador para mostrar un mensaje de agradecimiento tan pronto como se completa la instalación para continuar con la artimaña. Sin embargo, en segundo plano, se coloca un archivo XML para crear una tarea programada diseñada para iniciar una puerta trasera de JavaScript ofuscada.
La puerta trasera, a su vez, se conecta a un servidor externo y envía información básica, como ID de sesión, ID de máquina y otros metadatos en forma de una cadena JSON cifrada y codificada en Base64 a través de HTTPS.
Dicho esto, los objetivos finales de la campaña siguen siendo confusos. Se ha descubierto que algunas iteraciones facilitan el fraude publicitario, indicando sus motivos financieros. También es posible que los actores de amenazas busquen monetizar su acceso a otros ciberdelincuentes, o recopilar datos confidenciales y venderlos en foros clandestinos para permitir el fraude.
Los datos de telemetría muestran que se ha identificado una concentración significativa de infecciones en Estados Unidos y, en menor medida, en Israel, España, Alemania, India e Irlanda. La salud, la construcción y la manufactura son los sectores más afectados.
«Estas industrias parecen especialmente vulnerables a este tipo de campaña, probablemente debido a su dependencia de equipos técnicos y altamente especializados, lo que a menudo incita a los usuarios a buscar manuales de productos en línea, uno de los comportamientos explotados por la campaña TamperedChef», señalaron los investigadores.