«Спасибо за доступ». Вирус TamperedChef маскируется под PDF-читалку и благодарит жертву после заражения

leer en español

TamperedChef Acronis EvilAI вредоносная кампания поддельные установщики сертификаты заражение
«Спасибо за доступ». Вирус TamperedChef маскируется под PDF-читалку и благодарит жертву после заражения
TamperedChef Acronis EvilAI вредоносная кампания поддельные установщики сертификаты заражение

Пока на экране висит безобидное сообщение, скрытый скрипт незаметно подключает устройство к теневой сети.

image

Масштабная кампания TamperedChef вновь привлекает внимание специалистов, поскольку злоумышленники продолжают распространять вредоносные программы через поддельные установщики популярных приложений. Такая схема маскировки под привычный софт помогает обмануть пользователей и получить устойчивый доступ к устройствам. Команда Acronis подчёркивает, что активность сохраняется: обнаруживаются новые файлы, а связанная с ними инфраструктура остаётся рабочей.

В основе метода лежит социальная инженерия. Применяются названия привычных утилит, рекламные объявления с подменой переходов, поисковая оптимизация и поддельные цифровые сертификаты. Исследователи Даррел Виртусио и Йожеф Гегеньи объясняют, что эти элементы повышают доверие к установщикам и помогают обходить защитные механизмы.

Кампания получила название TamperedChef из-за того, что создаваемые ею мнимые инсталляторы выступают проводниками одноимённого вредоносного ПО. Эта активность рассматривается как часть широкой серии операций EvilAI, в которых используются приманки, связанные с инструментами на базе искусственного интеллекта.

Чтобы придать ложным приложениям правдоподобие, операторская группа использует сертификаты, оформленные на фиктивные компании из США, Панамы и Малайзии. Когда старые сертификаты отзываются, появляются новые — под другим названием фирмы. В Acronis отмечают, что такая инфраструктура напоминает организованный производственный процесс, позволяющий непрерывно выпускать свежие ключи и прикрывать вредоносный код подписанными сборками.

При этом важно учитывать, что под названием TamperedChef разные компании фиксировали не одну и ту же угрозу: часть исследовательских коллективов использует обозначение BaoLoader, а исходный вредоносный файл с этим именем был встроен в фальшивое приложение с рецептами в рамках EvilAI.

Типовой сценарий заражения начинается с поиска пользователем инструкций к оборудованию или утилит для работы с PDF. В выдаче появляются рекламные ссылки или подменённые результаты, ведущие на зарегистрированные через NameCheap домены злоумышленников. После загрузки и запуска установщика человеку показывают стандартное соглашение, а по завершении демонстрируют благодарственное сообщение в новом браузерном окне.

В это время на машине создаётся XML-файл, который встраивает в систему отложенный запуск скрытого JavaScript-компонента. Этот модуль подключается к внешнему узлу и отправляет базовые идентификаторы устройства и сессии в виде зашифрованного и кодированного JSON-пакета по HTTPS.

Цели операторов остаются не до конца понятными. Некоторые версии вредоносного инструмента участвовали в схемах недобросовестной рекламы, что указывает на попытку заработать напрямую. Наряду с этим возможно, что доступ продаётся другим преступным группировкам или используется для сбора конфиденциальных данных с последующей перепродажей на теневых площадках.

По данным телеметрии, больше всего заражений зафиксировано в США. В меньших объёмах атаки затронули Израиль, Испанию, Германию, Индию и Ирландию. Чаще всего страдают организации из сферы здравоохранения, строительства и производственного сектора — специалисты объясняют это тем, что сотрудники таких компаний регулярно ищут в сети инструкции к специализированному оборудованию, что делает их уязвимыми к подобным ловушкам.