Los actores de amenazas utilizan instaladores falsos que se hacen pasar por software popular para engañar a los usuarios para que instalen malware como parte de una campaña mundial de publicidad maliciosa denominada Chef manipulado .
El objetivo final de los ataques es establecer la persistencia y entregar malware de JavaScript que facilite el acceso y el control remotos, según un nuevo informe de la Unidad de Investigación de Amenazas (TRU) de Acronis. El campaña , según la empresa con sede en Singapur, sigue en marcha, con la detección de nuevos artefactos y la infraestructura asociada permanece activa.
«Los operadores confían en la ingeniería social mediante el uso cotidiano de nombres de aplicaciones, la publicidad maliciosa, la optimización de motores de búsqueda (SEO) y el uso indebido de certificados digitales con el objetivo de aumentar la confianza de los usuarios y evitar la detección de seguridad», afirman los investigadores Darrel Virtusio y Jozsef Gegeny.
TamperedChef es el nombre asignado a una campaña de larga duración que tiene apalancada instaladores aparentemente legítimos de varias utilidades para distribuir un malware robador de información del mismo nombre. Se considera que forma parte de un conjunto más amplio de ataques con nombre en código Evil AI que utiliza señuelos relacionados con herramientas y software de inteligencia artificial (IA) para la propagación de malware.
Para dar una apariencia de legitimidad a estas aplicaciones falsificadas, los atacantes utilizan certificados de firma de código emitidos por empresas fantasma registradas en EE. UU., Panamá y Malasia para firmarlos y adquieren otros nuevos con un nombre de empresa diferente a medida que se revocan los certificados más antiguos.
Acronis describió la infraestructura como «industrializada y de tipo empresarial», lo que permitió a los operadores producir nuevos certificados de manera constante y aprovechar la confianza inherente asociada a las aplicaciones firmadas para disfrazar el software malintencionado como legítimo.
Vale la pena señalar en este momento que el malware rastreado como TamperedChef por Truesec y G DATA también se conoce como BaoLoader de Expel, y es diferente del malware TamperedChef original que estaba integrado en una aplicación de recetas maliciosa distribuida como parte de la campaña EvilAI.
Acronis dijo a The Hacker News que está usando TamperedChef para referirse a la familia del malware, ya que ya ha sido ampliamente adoptado por la comunidad de ciberseguridad. «Esto ayuda a evitar confusiones y a mantener la coherencia con las publicaciones existentes y los nombres de detección utilizados por otros proveedores, que también hacen referencia a la familia del malware con el nombre de TamperedChef», afirma.
Un ataque típico se desarrolla de la siguiente manera: los usuarios que buscan editores de PDF o manuales de productos en motores de búsqueda como Bing reciben anuncios maliciosos o URL envenenadas y, al hacer clic en ellos, llevan a los usuarios a dominios con trampas explosivas registrados en NameCheap que los engañan para que descarguen los instaladores.
Una vez ejecutado el instalador, se solicita a los usuarios que acepten los términos de licencia del programa. A continuación, abre una nueva pestaña del navegador para mostrar un mensaje de agradecimiento tan pronto como se complete la instalación, a fin de continuar con la artimaña. Sin embargo, en segundo plano, se descarta un archivo XML para crear una tarea programada diseñada para abrir una puerta trasera de JavaScript ofuscada.
La puerta trasera, a su vez, se conecta a un servidor externo y envía información básica, como el ID de la sesión, el ID de la máquina y otros metadatos en forma de una cadena JSON cifrada y codificada en Base64 a través de HTTPS.
Dicho esto, los objetivos finales de la campaña siguen siendo nebulosos. Se ha descubierto que algunas iteraciones facilitan el fraude publicitario, ya que indican sus motivos financieros. También es posible que los autores de las amenazas busquen monetizar su acceso a otros ciberdelincuentes o recopilar datos confidenciales y venderlos en foros clandestinos para fomentar el fraude.
Los datos de telemetría muestran que se ha identificado una concentración significativa de infecciones en EE. UU. y, en menor medida, en Israel, España, Alemania, India e Irlanda. La sanidad, la construcción y la fabricación son los sectores más afectados.
«Estas industrias parecen especialmente vulnerables a este tipo de campañas, probablemente debido a que dependen de equipos técnicos y altamente especializados, lo que a menudo lleva a los usuarios a buscar manuales de productos en línea, uno de los comportamientos explotados por la campaña de TamperedChef», señalaron los investigadores.