Los actores de amenazas utilizan instaladores falsos que se hacen pasar por software popular para engañar a los usuarios para que instalen malware como parte de la llamada campaña global de publicidad maliciosa. Chef manipulado.
Según un nuevo informe de la Unidad de Investigación de Amenazas de Acronis (TRU), el objetivo final de los ataques es establecer persistencia y difundir malware JavaScript que facilite el acceso y control remotos. Según la empresa con sede en Singapur, la campaña aún está en curso, se están descubriendo nuevos artefactos y la infraestructura asociada permanece activa.
“Los operadores confían en la ingeniería social mediante el uso de nombres de aplicaciones cotidianas, publicidad maliciosa, optimización de motores de búsqueda (SEO) y certificados digitales mal utilizados para aumentar la confianza del usuario y evadir la detección de seguridad”, dijeron los investigadores Darrel Virtusio y Jozsef Gegeny.
TamperedChef es el nombre de una campaña de larga duración que utilizaba instaladores aparentemente legítimos de varias utilidades para distribuir un malware de robo de información del mismo nombre. Se cree que es parte de una serie más amplia de ataques, cuyo nombre en código es “EvilAI”, que utiliza señuelos asociados con herramientas y software de inteligencia artificial (IA) para propagar malware.
Para dar a estas aplicaciones falsas una apariencia de legitimidad, los atacantes utilizan certificados de firma de código emitidos a empresas fantasma registradas en EE. UU., Panamá y Malasia para firmarlos, y adquieren nuevos certificados con un nombre de empresa diferente mientras revocan los certificados más antiguos.
Acronis describió la infraestructura como “industrial y empresarial”, lo que en realidad permitió a los operadores emitir constantemente nuevos certificados y explotar la confianza inherente asociada con las aplicaciones firmadas para disfrazar el malware como legítimo.
Vale la pena señalar aquí que el malware rastreado por Truesec y G DATA como TamperedChef, también conocido como BaoLoader por Expel, es diferente del malware TamperedChef original, que estaba integrado en una aplicación de recetas maliciosas distribuida como parte de la campaña EvilAI.
Acronis le dijo a The Hacker News que usa TamperedChef para referirse a la familia de malware porque ya se usa ampliamente en la comunidad de ciberseguridad. “Esto ayuda a evitar confusiones y mantener la coherencia con las publicaciones existentes y los nombres de detección de otros proveedores que también se refieren a la familia de malware como TamperedChef”, dijo.
Un ataque típico es el siguiente: a los usuarios que buscan editores de PDF o manuales de productos en motores de búsqueda como Bing se les muestran anuncios maliciosos o URL envenenadas. Cuando se hace clic, los usuarios son redirigidos a dominios trampa registrados con NameCheap, engañándolos para que descarguen los instaladores.
Después de ejecutar el instalador, se solicita a los usuarios que acepten los términos de la licencia del programa. Luego se abrirá una nueva pestaña del navegador que mostrará un mensaje de agradecimiento una vez que se complete la instalación para continuar con el truco. Sin embargo, se coloca un archivo XML en segundo plano para crear una tarea programada diseñada para iniciar una puerta trasera de JavaScript ofuscada.
La puerta trasera, a su vez, se conecta a un servidor externo y envía información básica, como ID de sesión, ID de máquina y otros metadatos en forma de una cadena JSON cifrada a través de HTTPS y codificada en Base64.
Sin embargo, los objetivos finales de la campaña siguen sin estar claros. Se descubrió que algunas iteraciones fomentaban el fraude publicitario, lo que sugiere motivos financieros. También es posible que los actores de amenazas estén intentando monetizar su acceso a otros ciberdelincuentes o recopilar datos confidenciales y venderlos en foros clandestinos para facilitar el fraude.
Los datos de telemetría muestran que se ha detectado una importante concentración de contagios en Estados Unidos y, en menor medida, en Israel, España, Alemania, India e Irlanda. La salud, la construcción y la manufactura son los sectores más afectados.
“Estas industrias parecen ser particularmente vulnerables a este tipo de campaña, probablemente debido a su dependencia de dispositivos técnicos y altamente especializados, que a menudo llevan a los usuarios a buscar manuales de productos en línea, uno de los comportamientos explotados por la campaña TamperedChef”, señalaron los investigadores.
About The Author
