TamperedChef kampány
A Palo Alto Networks Unit 42 kutatása szerint a TamperedChef kampány mögött nem egyetlen malware-család, hanem több, egymással kapcsolatban álló támadási klaszter működik, amelyek közös infrastruktúrát, kódrészleteket és digitális tanúsítványokat használnak. A kampány lényege, hogy a támadók legitimnek tűnő, digitálisan aláírt alkalmazásokat – például PDF-szerkesztőket, kézikönyv-olvasókat vagy utility toolokat – terjesztenek malvertising és SEO-manipuláció segítségével. A felhasználók gyakran Google keresési találatokon vagy hirdetéseken keresztül jutnak el a fertőzött letöltőoldalakra.
A kutatás szerint a TamperedChef operátorai iparszerű infrastruktúrát építettek ki. Több amerikai shell companyt használtak code-signing tanúsítványok megszerzésére, így a rosszindulatú alkalmazások legitim szoftvernek tűnhettek Windows környezetben. A támadók gyakran valóban működő alkalmazásokat készítettek, amelyek hónapokig normálisan működtek, miközben a háttérben obfuszkált JavaScript vagy Electron-alapú payloadokat futtattak.
A Unit 42 szerint a különböző TamperedChef klaszterek között erős technikai átfedések láthatók. A kutatók újrafelhasznált tanúsítványokat, azonos buildkörnyezeteket, hasonló scheduled task mechanizmusokat és közös JavaScript-komponenseket azonosítottak. Ez arra utal, hogy a kampány mögött egy központi operátor vagy egy szorosan együttműködő bűnözői ökoszisztéma állhat.
A malware-ek elsődleges célja hozzáféréslopás és tartós hozzáférések kialakítása. A fertőzött rendszerekről böngészős hitelesítő adatokat, session tokeneket és rendszerinformációkat gyűjtenek, majd további payloadokat tölthetnek le. Több kutatás szerint a TamperedChef infrastruktúrát később ransomware-operátorok vagy access broker csoportok is használhatták.
A védekezés a code-signing tanúsítványok reputációjának ellenőrzése, a felhasználói tudatosság, valamint az Electron- és JavaScript-alapú alkalmazások fokozott monitorozása lehet.
