Globale "TamperedChef"-Kampagne: Malware, die sich als legitime Installationsprogramme tarnt

Forscher der Acronis Threat Research Unit (TRU) haben eine laufende Malvertising-Kampagne namens TamperedChef entdeckt, bei der Bedrohungsakteure Malware über gefälschte Installationsprogramme verbreiten, die wie gewöhnliche Anwendungen aussehen.

Ziel des Angriffs ist es, sich auf infizierten Systemen festzusetzen und eine JavaScript-Nutzlast zu übermitteln, die eine Hintertür öffnet und die Fernsteuerung von Geräten ermöglicht.

Mechanismus des Angriffs

• Die Angreifer nutzen Social Engineering, bösartiges SEO (Suchmaschinenoptimierung) und Malvertising, um die Opfer auf registrierte Fallendomains zu locken (z. B. über NameCheap).
• Die Installationsprogramme sind mit gültigen digitalen Zertifikaten signiert, die von "Geister"-Firmen stammen, die in Ländern wie den USA, Panama und Malaysia registriert sind, um das Vertrauen zu erhöhen und Sicherheitsüberprüfungen zu umgehen.
• Wenn der Benutzer das Installationsprogramm ausführt, erscheint ein Fenster, in dem er die Lizenzbedingungen akzeptieren muss, und nach Abschluss des Vorgangs wird eine Browser-Registerkarte geöffnet, um sich beim Benutzer zu bedanken und die bösartigen Aktivitäten im Hintergrund zu verbergen.
• Hinter den Kulissen erstellt das Setup eine XML-Datei, die eine geplante Aufgabe zur Ausführung eines verschleierten JavaScript-Skripts konfiguriert, das als Hintertür fungiert.
• Die Malware stellt eine HTTPS-Verbindung zu einem Remote-Server her und sendet Informationen (z. B. Sitzungs-ID, Rechner-ID) in Base64-kodierter, verschlüsselter JSON-Form.

Herkunft und Name

• TamperedChef" ist der Name, den Acronis für diese Malware-Familie verwendet, obwohl sie von anderen Anbietern als BaoLoader bezeichnet wird.
• Der Name "TamperedChef" leitet sich von einer früheren Variante ab, die in einer bösartigen Rezept-App als Teil einer breiteren Operation namens EvilAI verbreitet wurde.
• Wenn digitale Zertifikate widerrufen werden, beschaffen sich die Angreifer im Laufe der Zeit neue und signieren weiterhin bösartige Apps, als ob sie legitim wären.

Die Ziele der Angreifer

• Die Motive der Angreifer sind noch nicht ganz klar. In einigen Varianten scheint die Malware Werbebetrug zu erleichtern, was auf einen finanziellen Zweck schließen lässt.
• Sie könnte auch dazu verwendet werden, den Zugang zu anderen kriminellen Akteuren zu verkaufen oder sensible Daten (Anmeldeinformationen, Cookies usw.) zu exfiltrieren und auf illegalen Teilmärkten weiterzuverkaufen.

Geografische und sektorale Auswirkungen

• Aus den gesammelten Telemetriedaten geht hervor, dass sich die Infektionen vor allem auf die Vereinigten Staaten konzentrieren, aber es gibt auch Fälle in Israel, Spanien, Deutschland, Indien und Irland.
• Die am stärksten betroffenen Sektoren scheinen das Gesundheitswesen, das Baugewerbe und die verarbeitende Industrie zu sein, wahrscheinlich weil Benutzer in diesen Branchen häufig online nach technischen Handbüchern suchen (ein Verhalten, das von Angreifern ausgenutzt wird).

Empfehlungen zur Schadensbegrenzung

• Vermeiden Sie das Herunterladen von Software aus inoffiziellen Quellen oder von verdächtiger Werbung.
• Überprüfen Sie die digitalen Zertifikate von Anwendungen, bevor Sie sie installieren.
• Analysieren Sie das Vorhandensein ungewöhnlicher geplanter Aufgaben auf Systemen.
• Überwachung ausgehender Verbindungen zu unbekannten und verschlüsselten Servern.
• Verwendung fortschrittlicher Sicherheitslösungen (z. B. EDR), um verdächtige Aktivitäten wie die Ausführung von verschleierten JS-Skripten zu erkennen.

SOC