Các tác nhân đe dọa đang lợi dụng các trình cài đặt giả mạo trá hình phần mềm phổ biến để lừa người dùng cài đặt mã độc như một phần của chiến dịch malvertising toàn cầu có tên TamperedChef.
Mục tiêu cuối cùng của các cuộc tấn công là thiết lập quyền truy cập bền vững (persistence) và phát tán mã độc JavaScript cho phép truy cập và kiểm soát từ xa, theo một báo cáo mới từ Acronis Threat Research Unit (TRU). Chiến dịch này, theo công ty có trụ sở tại Singapore, vẫn đang diễn ra, với các artifacts mới được phát hiện và hạ tầng liên quan vẫn hoạt động.
"Các đối tượng điều hành dựa vào kỹ thuật social engineering bằng cách sử dụng tên ứng dụng thông thường, malvertising, Search Engine Optimization (SEO) và các chứng chỉ kỹ thuật số bị lạm dụng nhằm tăng sự tin cậy của người dùng và né tránh sự phát hiện của bảo mật," các nhà nghiên cứu Darrel Virtusio và Jozsef Gegeny cho biết.
TamperedChef là tên được đặt cho một chiến dịch kéo dài đã lợi dụng các trình cài đặt có vẻ hợp pháp cho nhiều tiện ích khác nhau để phân phối một mã độc đánh cắp thông tin (information stealer malware) cùng tên. Nó được đánh giá là một phần của một loạt các cuộc tấn công rộng hơn có tên mã EvilAI, sử dụng các mồi nhử liên quan đến các công cụ artificial intelligence (AI) và phần mềm để phát tán mã độc.
Để tạo vẻ hợp pháp cho các ứng dụng giả mạo này, những kẻ tấn công sử dụng chứng chỉ code-signing được cấp cho các công ty vỏ bọc (shell companies) đã đăng ký tại Hoa Kỳ, Panama và Malaysia để ký chúng, và mua các chứng chỉ mới dưới tên công ty khác khi các chứng chỉ cũ bị thu hồi.
Acronis mô tả hạ tầng này là "công nghiệp hóa và giống như doanh nghiệp", cho phép các đối tượng điều hành liên tục tạo ra các chứng chỉ mới và khai thác sự tin cậy vốn có liên quan đến các ứng dụng đã ký để ngụy trang phần mềm độc hại thành hợp pháp.
Điều đáng chú ý là mã độc được Truesec và G DATA theo dõi dưới tên TamperedChef cũng được Expel gọi là BaoLoader và khác với mã độc TamperedChef gốc được nhúng trong một ứng dụng công thức độc hại được phân phối như một phần của chiến dịch EvilAI.
Acronis nói với The Hacker News rằng họ đang sử dụng TamperedChef để chỉ gia đình mã độc này, vì nó đã được cộng đồng cybersecurity chấp nhận rộng rãi. "Điều này giúp tránh nhầm lẫn và duy trì tính nhất quán với các ấn phẩm hiện có và tên phát hiện được các nhà cung cấp khác sử dụng, những người cũng gọi gia đình mã độc này là TamperedChef," họ cho biết.
Một cuộc tấn công điển hình diễn ra như sau: Người dùng tìm kiếm các trình chỉnh sửa PDF hoặc hướng dẫn sử dụng sản phẩm trên các công cụ tìm kiếm như Bing sẽ nhận được quảng cáo độc hại hoặc URL bị nhiễm độc (poisoned URLs), khi nhấp vào, sẽ đưa người dùng đến các domain bị cài bẫy được đăng ký trên NameCheap, lừa họ tải xuống các trình cài đặt.
Sau khi thực thi trình cài đặt, người dùng sẽ được nhắc đồng ý với các điều khoản cấp phép của chương trình. Sau đó, nó sẽ khởi chạy một tab trình duyệt mới để hiển thị thông báo cảm ơn ngay sau khi cài đặt hoàn tất nhằm duy trì sự giả mạo. Tuy nhiên, ở chế độ nền, một file XML sẽ được thả để tạo một tác vụ theo lịch trình (scheduled task) được thiết kế để khởi chạy một backdoor JavaScript bị obfuscated.
Backdoor này, lần lượt, kết nối với một máy chủ bên ngoài và gửi thông tin cơ bản, chẳng hạn như session ID, machine ID và các metadata khác dưới dạng một chuỗi JSON được mã hóa và Base64-encoded qua HTTPS.
Mặc dù vậy, mục tiêu cuối cùng của chiến dịch vẫn còn mơ hồ. Một số lần lặp lại đã được tìm thấy là tạo điều kiện cho gian lận quảng cáo (advertising fraud), cho thấy động cơ tài chính của chúng. Cũng có thể các tác nhân đe dọa đang tìm cách kiếm tiền từ quyền truy cập của họ cho các tội phạm mạng khác, hoặc thu thập dữ liệu nhạy cảm và bán nó trên các diễn đàn ngầm để kích hoạt gian lận.
Dữ liệu Telemetry cho thấy một sự tập trung đáng kể các ca nhiễm đã được xác định ở Hoa Kỳ, và ở mức độ thấp hơn tại Israel, Tây Ban Nha, Đức, Ấn Độ và Ireland. Các lĩnh vực y tế (Healthcare), xây dựng (construction) và sản xuất (manufacturing) là những ngành bị ảnh hưởng nhiều nhất.
"Những ngành này dường như đặc biệt dễ bị tổn thương bởi loại chiến dịch này, có lẽ do sự phụ thuộc của họ vào các thiết bị chuyên dụng và kỹ thuật cao, điều này thường thúc đẩy người dùng tìm kiếm hướng dẫn sử dụng sản phẩm trực tuyến – một trong những hành vi bị chiến dịch TamperedChef khai thác," các nhà nghiên cứu lưu ý.
