TamperedChef
A Sophos jelentése szerint a TamperedChef kampány 2025 nyarától kezdődően egyre hangsúlyosabban jelent meg az interneten, és 2026 elején a Sophos MDR-csoport is részletesen elemezte működését. Ez a kampány nem egyszerű phishing vagy spam email támadás, hanem kifinomult malvertising mechanizmuson alapul, amely a Google Ads-et és egyéb keresőmotoros promóciókat használ fel arra, hogy ártalmatlannak tűnő letöltési linkekbe csomagolja a kártékony kódot.
A támadási lánc lényege, hogy a rosszindulatú szereplők olyan weboldalakat hoztak létre és hirdettek, gyakran keresési eredmények élére helyezett Google Ads-ek révén, amelyek legitimnek látszó alkalmazásokat, például AppSuite PDF Editor nevű programot kínálnak letöltésre. Ezek a programok elsőre teljesen működőképesnek tűnnek, ami növeli az áldozatok bizalmát. Azonban amikor a felhasználó letölti és telepíti az alkalmazást, a háttérben egy infostealer, a TamperedChef települ a rendszerre, amely később adatokat, hitelesítő információkat és egyéb érzékeny tartalmakat próbál ellopni.
A kampány többlépcsős és hosszú távú, a rosszindulatú komponensek nem azonnal aktiválódnak, hanem több hetes passzív időszakot követően lépnek működésbe. Ez az úgynevezett dormancy vagy késleltetett aktiválás azt a célt szolgálja, hogy elkerülje a kezdeti észlelést, miközben a széles körben terjesztett alkalmazások települnek a fertőzött eszközökre.
A Sophos adatai szerint több mint 100 ügyfélrendszer érintett volt a kampányban, és az áldozatok között különösen Németország (~15 %), az Egyesült Királyság (~14 %) és Franciaország (~9 %) szerepeltek kiemelten, de összesen 19 országot azonosítottak a fertőzések helyeként. Ez arra utal, hogy a kampány globális jellegű volt, és nem feltétlenül egyetlen szektorra vagy régióra korlátozódott.
A TamperedChef kampány során a rosszindulatú letöltők és telepítők gyakran használnak érvényesnek kinéző digitálisan aláírt alkalmazásokat, SEO- és fizetett hirdetések manipulációját, valamint olyan szerverarchitektúrát, amely igyekszik elkerülni az egyszerű blokkolást és vizsgálatot. Ez a taktika hasonló más figyelmeztetett esetekhez, ahol látszólag hétköznapi szoftverek mögött megbújó rosszindulatú komponensek lopnak be adatokat és biztosítanak távoli hozzáférést a támadóknak.
Míg a kampány mögötti szereplők motivációját nehéz pontosan megállapítani, egyes biztonsági kutatások szerint a credential theft (hitelesítő adatok ellopása), biztonsági eszközök felderítése és akár backdoorok telepítése további károkozásra is cél lehet, ami nem csupán adatlopást, hanem későbbi, súlyosabb kompromittálásokat is lehetővé tehet.
