Los actores de amenazas están utilizando instaladores falsos disfrazados de software popular para engañar a los usuarios para que instalen malware como parte de una campaña global de publicidad maliciosa llamada TamperedChef.
El objetivo final del ataque es establecer persistencia y entregar malware JavaScript que facilite el acceso y control remotos, según un nuevo informe de Acronis Threat Research Unit (TRU). La empresa con sede en Singapur dijo que la campaña está en curso, se han detectado nuevos artefactos y la infraestructura asociada permanece activa.
«Los operadores confían en la ingeniería social utilizando nombres de aplicaciones cotidianas, publicidad maliciosa, optimización de motores de búsqueda (SEO) y el abuso de certificados digitales destinados a aumentar la confianza del usuario y evadir la detección de seguridad», dijeron los investigadores Darrell Virtusio y Joseph Gegeny.
TamperedChef es el nombre asignado a una campaña de larga duración que aprovecha instaladores aparentemente legítimos de varias utilidades para distribuir malware de robo de información del mismo nombre. Se considera que esto es parte de un conjunto de ataques más amplio con nombre en código ‘EvilAI’ que utiliza señuelos relacionados con herramientas y software de inteligencia artificial (IA) para propagar malware.
Para dar a estas aplicaciones falsificadas una apariencia de legitimidad, los atacantes las firman utilizando certificados de firma de código emitidos a empresas fantasma registradas en Estados Unidos, Panamá y Malasia, y obtienen nuevos certificados con diferentes nombres de empresas cuando los certificados antiguos caducan.
Acronis describió esta infraestructura como «industrializada y empresarial», lo que permite efectivamente a los operadores producir constantemente nuevos certificados y explotar la confianza inherente asociada con las aplicaciones firmadas para disfrazar el software malicioso como legítimo.
Vale la pena señalar en este punto que el malware rastreado por Truesec y G DATA como TamperedChef, también llamado BaoLoader por Expel, es diferente del malware TamperedChef original que estaba integrado dentro de una aplicación de recetas maliciosas distribuida como parte de la campaña EvilAI.
Acronis le dijo a Hacker News que usa TamperedChef para referirse a la familia de malware porque ya ha sido ampliamente adoptada por la comunidad de ciberseguridad. «Esto evita la confusión y mantiene la coherencia con las publicaciones existentes y los nombres de detección utilizados por otros proveedores, que también se refieren a la familia de malware como TamperedChef», dijo la compañía.
Un ataque típico se desarrolla de la siguiente manera. A los usuarios que buscan editores de PDF o manuales de productos en motores de búsqueda como Bing se les muestran anuncios maliciosos o URL dañinas que, al hacer clic, redirigen a los usuarios a dominios trampa registrados con NameCheap y los engañan para que descarguen el instalador.
Después de ejecutar el instalador, se le pide al usuario que acepte los términos de la licencia del programa. Luego, tan pronto como se completa la instalación, abre una nueva pestaña del navegador y muestra un mensaje de agradecimiento para continuar con su artimaña. Sin embargo, en segundo plano, coloca un archivo XML y crea una tarea programada diseñada para iniciar una puerta trasera de JavaScript ofuscada.
Luego, la puerta trasera se conecta a un servidor externo y envía información básica, como ID de sesión, ID de máquina y otros metadatos en forma de una cadena JSON cifrada y codificada en Base64 a través de HTTPS.
Dicho esto, el objetivo final de la campaña sigue siendo vago. Se ha descubierto que algunas acciones repetidas facilitan el fraude publicitario, lo que indica un motivo financiero. El atacante también puede estar buscando monetizar el acceso a otros ciberdelincuentes o recopilar datos confidenciales para venderlos en foros clandestinos para permitir el fraude.
Los datos de telemetría muestran una concentración significativa de infecciones en Estados Unidos y, en menor medida, en Israel, España, Alemania, India e Irlanda. Las industrias de atención médica, construcción y manufactura serán las más afectadas.
«Estas industrias parecen ser particularmente vulnerables a este tipo de campaña, tal vez porque dependen de equipos técnicos y altamente especializados. Como tal, los usuarios a menudo buscan en línea manuales de productos, que es uno de los comportamientos que explota la campaña TamperedChef», señalaron los investigadores.
Source link
