Актори загрози використовують декілька веб-сайтів, що рекламують через рекламу Google для розповсюдження переконливого додатка для редагування PDF, який забезпечує зловмисне програмне забезпечення для крадіжки інформації під назвою TamperedChef.
Кампанія є частиною більшої операції з декількома додатками, які можуть завантажувати один одного, деякі з них обманюють користувачів зарахувати свою систему до житлових проксі.
Понад 50 доменів було визначено для розміщення обманних додатків, підписаних з шахрайськими сертифікатами, виданими щонайменше чотирма різними компаніями.
Кампанія, як видається, є широко розповсюдженою та добре організованою, коли оператори чекали, коли реклама запустить свій курс, перш ніж активувати шкідливі компоненти в додатках, кажуть дослідники.
Повне оновлення забезпечує Infostealer
Технічний аналіз компанії з кібербезпеки Truesec описує процес TamperedChef Infostealer, який доставляється в систему користувача.
Дослідники виявили, що зловмисне програмне забезпечення було доставлено через декілька веб -сайтів, які рекламували безкоштовний інструмент під назвою AppSuite PDF -редактор.
На основі Інтернет -записів слідчі визначили, що кампанія розпочалася 26 червня, коли багато залучених веб -сайтів були зареєстровані, або почали рекламувати редактор PDF AppSuite.
Однак дослідники встановили, що шкідливий додаток був перевірений через послуги сканування зловмисного програмного забезпечення Virustotal 15 травня.
Здається, що програма поводилася нормально до 21 серпня, коли вона отримала оновлення, яке активовано шкідливі можливості, побудовані для збору конфіденційних даних, таких як облікові дані та веб -файли.
За словами Truesec, TamperedChef Infostealer виводиться з аргументом “-ллупдату” для виконуваного файлу редактора PDF.
Зловмисне програмне забезпечення перевіряє різні агенти безпеки на хості. Він також запитує бази даних встановлених веб -браузерів за допомогою DPAPI (інтерфейс програмування програм захисту даних) – компонент у Windows, що шифрує чутливі дані.
Джерело: Truesec
Копаючи глибше для методу розповсюдження, дослідники Truesec виявили докази, що свідчать про те, що актор загрози розповсюджує Tamperedchef в рамках AppSuites PDF -редактор, що покладався на рекламу Google для просування шкідливої програми.
“Truesec спостерігав щонайменше 5 різних ідентифікаторів кампанії Google, що пропонує широку кампанію” – Truesec
Актор загрози, ймовірно, мав стратегію максимізації кількості завантажень, перш ніж активувати шкідливий компонент у редакторі PDF AppSuites, оскільки вони доставили Infostealer лише за чотири дні до типового періоду терміну придатності 60 днів для рекламної кампанії Google.
Дивлячись далі в редактор PDF Appsuites, дослідники виявили, що різні версії програми були підписані сертифікатами “щонайменше чотирьох компаній”, серед них Echo Infini Sdn Bhd, Glint від J Sdn. BHD, і Summit Nexus Holdings LLC, BHD.
Приєднання до житлового проксі
Truesec встановив, що оператор цієї кампанії активно працював щонайменше з серпня 2024 року та пропагував інші інструменти, включаючи браузери Onestart та Epibrowser.
Варто зазначити, що Onestart зазвичай позначається як потенційно небажана програма (цуценя), яка, як правило, є терміном для рекламного програмного забезпечення.
Однак дослідники керованої компанії з виявлення та реагування також досліджували інциденти, пов’язані з редактором PDF Appsuites, MandualFinder та Onestart, усі “відкидають дуже підозрілі файли, виконання несподіваних команд та перетворення хостів у проживання в житлових місцях”, що ближче до поведінки, що нагадує зловмисне програмне забезпечення.
Вони виявили, що Onestart може завантажити AppSuite-PDF (підписаний Echo Infini Sdn. Bhd сертифікат), який може отримати редактор PDF.
“Початкові завантаження для редактора Onestart, AppSuite-PDF та PDF розповсюджуються великими рекламними рекламними рекламними PDF та редакторами PDF. Ці реклами направляють на один із багатьох веб-сайтів, що пропонують завантаження AppSuite-PDF, редактора PDF та Onestart”, Expel.
Сертифікати підписання коду, що використовуються в цій кампанії, вже скасовані, але ризик все ще присутній для поточних установок.
У деяких випадках редактора PDF додаток покаже користувачам повідомлення з проханням дозволу використовувати свій пристрій як житловий проксі -сервер у відповідь на використання інструменту безкоштовно.
Дослідники зазначають, що постачальник проксі -мережі може бути законною сутністю, яка не бере участь у кампанії, і що оператор редактора PDF використовує капітал як філії.
Здається, що той, хто стоїть за редактором PDF, намагається максимально збільшити свій прибуток за рахунок користувачів у всьому світі.
Навіть якщо програми в цій кампанії вважаються цуценятами, їх можливості характерні для зловмисного програмного забезпечення і їх слід трактувати як такі.
Дослідники попереджають, що операція, яку вони розкрила, передбачає більше додатків, деякі з них ще не озброєні, здатні розповсюджувати зловмисне програмне забезпечення або підозрілі файли, або виконувати команди, що приходять до системи.
Обидва звіти від Truesec та Expel [1, 2] Включіть великий набір показників компромісів (МОК), який може допомогти захисникам захистити користувачів та активи від зараження.
У 46% середовища зламали паролі, майже вдвічі збільшилися з 25% минулого року.
Отримайте звіт Picus Blue 2025 зараз для всебічного ознайомлення з більшою кількістю висновків щодо профілактики, виявлення та тенденцій ексфільтрації даних.
