Mã độc TamperedChef lây lan qua trình cài đặt giả mạo trong chiến dịch toàn cầu

[Starlink]

Những kẻ tấn công đang lợi dụng các trình cài đặt giả mạo dưới dạng phần mềm phổ biến để lừa người dùng cài đặt phần mềm độc hại như một phần của chiến dịch quảng cáo độc hại toàn cầu có tên gọi TamperedChef.

Mục tiêu cuối cùng của các cuộc tấn công là thiết lập sự tồn tại dai dẳng và phát tán phần mềm độc hại JavaScript, tạo điều kiện cho việc truy cập và kiểm soát từ xa, theo báo cáo mới từ Đơn vị Nghiên cứu Mối đe dọa Acronis (TRU). Theo công ty có trụ sở tại Singapore, chiến dịch này vẫn đang tiếp diễn, với nhiều hiện vật mới được phát hiện và cơ sở hạ tầng liên quan vẫn đang hoạt động.

Các nhà nghiên cứu Darrel Virtusio và Jozsef Gegeny cho biết: "Những kẻ điều hành dựa vào kỹ thuật xã hội bằng cách sử dụng tên ứng dụng hàng ngày, quảng cáo độc hại, Tối ưu hóa công cụ tìm kiếm (SEO) và chứng chỉ số bị lạm dụng nhằm mục đích tăng lòng tin của người dùng và trốn tránh phát hiện bảo mật".

TamperedChef là tên được đặt cho một chiến dịch kéo dài, lợi dụng các trình cài đặt có vẻ hợp pháp của nhiều tiện ích khác nhau để phát tán phần mềm độc hại đánh cắp thông tin cùng tên. Nó được đánh giá là một phần của một loạt các cuộc tấn công rộng hơn có tên mã là EvilAI, sử dụng các mồi nhử liên quan đến các công cụ và phần mềm trí tuệ nhân tạo (AI) để phát tán phần mềm độc hại.

Để tạo vẻ ngoài hợp pháp cho các ứng dụng giả mạo này, kẻ tấn công sử dụng chứng chỉ chữ ký mã được cấp cho các công ty bình phong đăng ký tại Hoa Kỳ, Panama và Malaysia để ký chúng và lấy các chứng chỉ mới dưới tên công ty khác khi các chứng chỉ cũ bị thu hồi.

Acronis mô tả cơ sở hạ tầng này là "công nghiệp hóa và mang tính doanh nghiệp", cho phép các nhà điều hành liên tục tạo ra các chứng chỉ mới và khai thác lòng tin vốn có liên quan đến các ứng dụng đã ký để ngụy trang phần mềm độc hại thành phần mềm hợp pháp.

Điều đáng chú ý ở giai đoạn này là phần mềm độc hại được Truesec và G DATA theo dõi với tên gọi TamperedChef cũng được Expel gọi là BaoLoader và khác với phần mềm độc hại TamperedChef ban đầu được nhúng trong ứng dụng công thức độc hại được phân phối như một phần của chiến dịch EvilAI.

Acronis nói với The Hacker News rằng họ sử dụng TamperedChef để chỉ họ phần mềm độc hại này, vì nó đã được cộng đồng an ninh mạng áp dụng rộng rãi. "Điều này giúp tránh nhầm lẫn và duy trì tính nhất quán với các ấn phẩm và tên phát hiện hiện có do các nhà cung cấp khác sử dụng, vốn cũng gọi họ phần mềm độc hại này là TamperedChef", Acronis cho biết.

Một cuộc tấn công điển hình diễn ra như sau: Người dùng tìm kiếm trình chỉnh sửa PDF hoặc hướng dẫn sử dụng sản phẩm trên các công cụ tìm kiếm như Bing sẽ thấy quảng cáo độc hại hoặc URL độc hại, khi nhấp vào sẽ dẫn người dùng đến các tên miền có bẫy được đăng ký trên NameCheap, lừa họ tải xuống trình cài đặt.

Sau khi chạy trình cài đặt, người dùng được yêu cầu đồng ý với các điều khoản cấp phép của chương trình. Sau đó, nó sẽ khởi chạy một tab trình duyệt mới để hiển thị thông báo cảm ơn ngay khi quá trình cài đặt hoàn tất nhằm duy trì trò lừa đảo. Tuy nhiên, trong nền, một tệp XML được thả ra để tạo một tác vụ theo lịch trình được thiết kế để khởi chạy một cửa hậu JavaScript bị che giấu.

Cửa hậu sẽ kết nối với máy chủ bên ngoài và gửi thông tin cơ bản, chẳng hạn như ID phiên, ID máy và siêu dữ liệu khác dưới dạng chuỗi JSON được mã hóa và mã hóa Base64 qua HTTPS.

Tuy nhiên, mục tiêu cuối cùng của chiến dịch vẫn còn mơ hồ. Một số phiên bản đã được phát hiện là tạo điều kiện cho gian lận quảng cáo, cho thấy động cơ tài chính của chúng. Cũng có khả năng kẻ tấn công đang tìm cách kiếm tiền từ việc tiếp cận các tội phạm mạng khác, hoặc thu thập dữ liệu nhạy cảm và bán chúng trên các diễn đàn ngầm để thực hiện hành vi gian lận.

Dữ liệu đo từ xa cho thấy một lượng lớn ca nhiễm đã được xác định ở Hoa Kỳ, và ở mức độ thấp hơn ở Israel, Tây Ban Nha, Đức, Ấn Độ và Ireland. Y tế, xây dựng và sản xuất là những ngành bị ảnh hưởng nặng nề nhất.

Các nhà nghiên cứu lưu ý rằng "Những ngành công nghiệp này có vẻ đặc biệt dễ bị ảnh hưởng bởi loại chiến dịch này, có thể là do họ phụ thuộc vào thiết bị chuyên dụng và kỹ thuật cao, thường khiến người dùng tìm kiếm hướng dẫn sử dụng sản phẩm trực tuyến - một trong những hành vi bị chiến dịch TamperedChef lợi dụng".