«Спасибо за доступ». Вирус TamperedChef маскируется под PDF-читалку и благодарит жертву после заражения

Масштабная кампания TamperedChef вновь привлекает внимание специалистов, поскольку злоумышленники продолжают распространять вредоносные программы через поддельные установщики популярных приложений. Такая схема маскировки под привычный софт помогает обмануть пользователей и получить устойчивый доступ к устройствам. Команда Acronis подчёркивает , что активность сохраняется: обнаруживаются новые файлы, а связанная с ними инфраструктура остаётся рабочей.

В основе метода лежит социальная инженерия. Применяются названия привычных утилит, рекламные объявления с подменой переходов, поисковая оптимизация и поддельные цифровые сертификаты. Исследователи Даррел Виртусио и Йожеф Гегеньи объясняют, что эти элементы повышают доверие к установщикам и помогают обходить защитные механизмы.

Кампания получила название TamperedChef из-за того, что создаваемые ею мнимые инсталляторы выступают проводниками одноимённого вредоносного ПО. Эта активность рассматривается как часть широкой серии операций EvilAI, в которых используются приманки, связанные с инструментами на базе искусственного интеллекта.

Чтобы придать ложным приложениям правдоподобие, операторская группа использует сертификаты, оформленные на фиктивные компании из США, Панамы и Малайзии. Когда старые сертификаты отзываются, появляются новые — под другим названием фирмы. В Acronis отмечают, что такая инфраструктура напоминает организованный производственный процесс, позволяющий непрерывно выпускать свежие ключи и прикрывать вредоносный код подписанными сборками.

При этом важно учитывать, что под названием TamperedChef разные компании фиксировали не одну и ту же угрозу: часть исследовательских коллективов использует обозначение BaoLoader, а исходный вредоносный файл с этим именем был встроен в фальшивое приложение с рецептами в рамках EvilAI.

Типовой сценарий заражения начинается с поиска пользователем инструкций к оборудованию или утилит для работы с PDF. В выдаче появляются рекламные ссылки или подменённые результаты, ведущие на зарегистрированные через NameCheap домены злоумышленников. После загрузки и запуска установщика человеку показывают стандартное соглашение, а по завершении демонстрируют благодарственное сообщение в новом браузерном окне.

В это время на машине создаётся XML-файл, который встраивает в систему отложенный запуск скрытого JavaScript-компонента. Этот модуль подключается к внешнему узлу и отправляет базовые идентификаторы устройства и сессии в виде зашифрованного и кодированного JSON-пакета по HTTPS.

Цели операторов остаются не до конца понятными. Некоторые версии вредоносного инструмента участвовали в схемах недобросовестной рекламы, что указывает на попытку заработать напрямую. Наряду с этим возможно, что доступ продаётся другим преступным группировкам или используется для сбора конфиденциальных данных с последующей перепродажей на теневых площадках.

По данным телеметрии, больше всего заражений зафиксировано в США. В меньших объёмах атаки затронули Израиль, Испанию, Германию, Индию и Ирландию. Чаще всего страдают организации из сферы здравоохранения, строительства и производственного сектора — специалисты объясняют это тем, что сотрудники таких компаний регулярно ищут в сети инструкции к специализированному оборудованию, что делает их уязвимыми к подобным ловушкам.