TamperedChef-Malware
Cyberkriminelle nutzen gefälschte Installationsprogramme, die sich als weit verbreitete Anwendungen tarnen, in einer globalen Malvertising-Kampagne namens TamperedChef aus. Nutzer, die diese gefälschten Programme herunterladen, installieren unwissentlich Schadsoftware, die sich dauerhaft auf ihren Systemen einnistet und eine JavaScript-Hintertür für Fernzugriff und -steuerung bereitstellt. Zum Zeitpunkt der Berichterstattung war die Kampagne noch aktiv; es wurden neue Schadprogramme entdeckt und die zugehörige Infrastruktur war weiterhin in Betrieb.
Inhaltsverzeichnis
Social Engineering und Vertrauensmissbrauch
Die Betreiber von TamperedChef nutzen Social-Engineering-Techniken, um das Vertrauen der Nutzer zu maximieren und einer Entdeckung zu entgehen. Zu ihren Methoden gehören:
- Verwendung bekannter Anwendungsnamen, um Downloads anzuregen
- Einsatz von Malvertising-Kampagnen, um Nutzer über Online-Werbung zu erreichen
- Einsatz von Suchmaschinenoptimierungstaktiken (SEO), um in den Suchergebnissen zu erscheinen
- Malware wird mit missbrauchten digitalen Zertifikaten signiert, wodurch ein Anschein von Legitimität entsteht.
Zertifikate werden häufig an Briefkastenfirmen mit Sitz in den USA, Panama und Malaysia ausgestellt. Sobald ältere Zertifikate widerrufen werden, beschaffen sich die Angreifer fortlaufend neue unter verschiedenen Firmennamen und wahren so den Anschein von Legitimität. IT-Sicherheitsexperten beschreiben diese Infrastruktur als hoch organisiert und ermöglichen die kontinuierliche Produktion von vertrauenswürdig wirkenden Installationsprogrammen.
Malware-Familie und Kampagnenkontext
TamperedChef ist Teil einer größeren Kampagne mit dem Codenamen EvilAI, die mithilfe von KI-Tools und -Software Köder zur Malware-Verbreitung einsetzt. Obwohl sich TamperedChef als gängiger Name für die Malware-Familie etabliert hat, wird sie in einigen Berichten auch als BaoLoader geführt. Der Name TamperedChef trägt zur Einheitlichkeit in Cybersicherheitsveröffentlichungen und Herstellermeldungen bei, obwohl er sich von der ursprünglichen TamperedChef-Malware unterscheidet, die in einer schädlichen Rezeptanwendung eingebettet war.
Wie der Angriff abläuft
Ein typisches Angriffsszenario umfasst Folgendes:
- Nutzer, die über Suchmaschinen nach PDF-Editoren oder Produkthandbüchern suchen, erhalten manipulierte URLs oder schädliche Anzeigen.
- Durch Anklicken dieser Links werden die Benutzer auf präparierte Domains weitergeleitet, die häufig über NameCheap registriert sind, und werden dazu aufgefordert, ein gefälschtes Installationsprogramm herunterzuladen.
- Das Installationsprogramm fordert die Benutzer auf, den Standardlizenzbedingungen zuzustimmen und öffnet anschließend eine Dankesseite in einem neuen Browser-Tab, um den Betrug aufrechtzuerhalten.
Die Endziele der Kampagne sind weiterhin unklar. Einige Malware-Varianten ermöglichen Werbebetrug, während andere durch den Verkauf von Zugängen an Cyberkriminelle oder durch das Sammeln sensibler Daten für Untergrundforen monetarisiert werden könnten.
Geografische und sektorale Auswirkungen
Telemetriedaten deuten darauf hin, dass US-amerikanische Nutzer am stärksten betroffen sind. Weitere Infektionen wurden aus Israel, Spanien, Deutschland, Indien und Irland gemeldet. Zu den am stärksten betroffenen Branchen zählen das Gesundheitswesen, das Baugewerbe und die Fertigungsindustrie, vermutlich aufgrund ihrer häufigen Nutzung spezialisierter Geräte und der Online-Suche nach Produkthandbüchern, die von den Angreifern ausgenutzt werden.
