Bedreigingsactoren maken gebruik van valse installatieprogramma’s die zich voordoen als populaire software om gebruikers te misleiden om malware te installeren als onderdeel van een wereldwijde malvertisingcampagne genaamd GeknoeidChef.
Het einddoel van de aanvallen is het bewerkstelligen van persistentie en het leveren van JavaScript-malware die toegang en controle op afstand mogelijk maakt, volgens een nieuw rapport van Acronis Threat Research Unit (TRU). Volgens het bedrijf met het hoofdkantoor in Singapore is de campagne nog steeds aan de gang, waarbij nieuwe artefacten worden gedetecteerd en de bijbehorende infrastructuur actief blijft.
“De operator(en) vertrouwen op social engineering door gebruik te maken van alledaagse applicatienamen, malvertising, zoekmachineoptimalisatie (SEO) en misbruikte digitale certificaten die tot doel hebben het vertrouwen van de gebruiker te vergroten en beveiligingsdetectie te omzeilen”, aldus onderzoekers Darrel Virtusio en Jozsef Gegeny.
TamperedChef is de naam die is toegewezen aan een langlopende campagne die schijnbaar legitieme installatieprogramma’s voor verschillende hulpprogramma’s heeft ingezet om informatiestelende malware met dezelfde naam te verspreiden. Er wordt aangenomen dat het deel uitmaakt van een bredere reeks aanvallen met de codenaam EvilAI, waarbij gebruik wordt gemaakt van lokmiddelen die verband houden met kunstmatige intelligentie (AI)-tools en -software voor de verspreiding van malware.
Om deze nagemaakte apps een laagje legitimiteit te geven, gebruiken de aanvallers code-signing-certificaten die zijn uitgegeven voor lege bedrijven die zijn geregistreerd in de VS, Panama en Maleisië om ze te ondertekenen, en verwerven ze nieuwe onder een andere bedrijfsnaam naarmate oudere certificaten worden ingetrokken.
Acronis omschreef de infrastructuur als ‘geïndustrialiseerd en zakelijk’, waardoor de operators in feite gestaag nieuwe certificaten konden produceren en het inherente vertrouwen dat met ondertekende applicaties gepaard gaat, konden benutten om de kwaadaardige software als legitiem te vermommen.
Het is in dit stadium de moeite waard om op te merken dat de malware die door Truesec en G DATA wordt gevolgd als TamperedChef, ook wel BaoLoader wordt genoemd door Expel, en verschilt van de originele TamperedChef-malware die was ingebed in een kwaadaardige receptapplicatie die werd verspreid als onderdeel van de EvilAI-campagne.
Acronis vertelde The Hacker News dat het TamperedChef gebruikt om naar de malwarefamilie te verwijzen, aangezien het al op grote schaal is overgenomen door de cyberbeveiligingsgemeenschap. “Dit helpt verwarring te voorkomen en consistent te blijven met bestaande publicaties en detectienamen die door andere leveranciers worden gebruikt en die ook naar de malwarefamilie verwijzen als TamperedChef”, aldus het rapport.
Een typische aanval verloopt als volgt: gebruikers die zoeken naar pdf-editors of producthandleidingen op zoekmachines zoals Bing krijgen kwaadaardige advertenties of vergiftigde URL’s te zien. Wanneer erop wordt geklikt, worden gebruikers naar boobytrap-domeinen geleid die op NameCheap zijn geregistreerd en die hen misleiden om de installatieprogramma’s te downloaden.
Nadat het installatieprogramma is uitgevoerd, wordt gebruikers gevraagd akkoord te gaan met de licentievoorwaarden van het programma. Vervolgens wordt een nieuw browsertabblad geopend om een bedankbericht weer te geven zodra de installatie is voltooid, om de list vol te houden. Op de achtergrond wordt echter een XML-bestand verwijderd om een geplande taak te maken die is ontworpen om een versluierde JavaScript-achterdeur te starten.
De achterdeur maakt op zijn beurt verbinding met een externe server en verzendt basisinformatie, zoals sessie-ID, machine-ID en andere metagegevens in de vorm van een JSON-string die is gecodeerd en Base64-gecodeerd via HTTPS.
Dat gezegd zijnde blijven de einddoelen van de campagne vaag. Er is vastgesteld dat sommige iteraties advertentiefraude vergemakkelijken, wat hun financiële motieven aangeeft. Het is ook mogelijk dat de dreigingsactoren geld willen verdienen met hun toegang tot andere cybercriminelen, of gevoelige gegevens willen verzamelen en deze in ondergrondse fora willen verkopen om fraude mogelijk te maken.
Uit telemetriegegevens blijkt dat er een aanzienlijke concentratie van infecties is vastgesteld in de VS, en in mindere mate in Israël, Spanje, Duitsland, India en Ierland. De gezondheidszorg, de bouw en de productiesector zijn de zwaarst getroffen sectoren.
“Deze industrieën lijken bijzonder kwetsbaar voor dit soort campagnes, waarschijnlijk vanwege hun afhankelijkheid van zeer gespecialiseerde en technische apparatuur, die gebruikers er vaak toe aanzet om online naar producthandleidingen te zoeken – een van de gedragingen die door de TamperedChef-campagne worden uitgebuit”, aldus de onderzoekers.
