Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant TamperedChef

Logiciel malveillant TamperedChef

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT), Portes dérobées
Se traduisent par :

Des cybercriminels exploitent de faux installateurs se faisant passer pour des applications courantes dans le cadre d'une campagne mondiale de malvertising connue sous le nom de TamperedChef. Les utilisateurs qui téléchargent ces programmes contrefaits installent par inadvertance un logiciel malveillant conçu pour s'implanter durablement sur leurs systèmes et déployer une porte dérobée JavaScript permettant un accès et un contrôle à distance. Au moment de la rédaction de ce rapport, la campagne était toujours active : de nouveaux éléments malveillants avaient été détectés et l'infrastructure associée restait opérationnelle.

Ingénierie sociale et exploitation de la confiance

Les responsables de TamperedChef utilisent des techniques d'ingénierie sociale pour maximiser la confiance des utilisateurs et échapper à la détection. Leurs méthodes incluent :

  • Utiliser des noms d'applications familiers pour inciter aux téléchargements
  • Déploiement de campagnes de malvertising pour atteindre les utilisateurs via des publicités en ligne
  • Utiliser des techniques d'optimisation pour les moteurs de recherche (SEO) afin d'apparaître dans les résultats de recherche.
  • Signer des logiciels malveillants avec des certificats numériques falsifiés, ce qui leur confère une apparence de légitimité.

Les certificats sont souvent délivrés à des sociétés écrans enregistrées aux États-Unis, au Panama et en Malaisie. À mesure que les anciens certificats sont révoqués, les attaquants en acquièrent continuellement de nouveaux sous différents noms d'entreprise, préservant ainsi les apparences de légitimité. Les experts en sécurité informatique décrivent cette infrastructure comme étant extrêmement organisée, permettant la production continue de programmes d'installation d'apparence fiable.

Famille de logiciels malveillants et contexte de campagne

TamperedChef fait partie d'une campagne plus vaste, nommée EvilAI, qui utilise des leurres liés à des outils et logiciels d'intelligence artificielle (IA) pour diffuser des logiciels malveillants. Bien que TamperedChef soit devenu le nom le plus courant pour cette famille de logiciels malveillants, il est également référencé sous le nom de BaoLoader dans certains rapports. Le nom TamperedChef permet de maintenir une cohérence entre les publications sur la cybersécurité et les détections des fournisseurs, même s'il diffère du logiciel malveillant TamperedChef original, intégré à une application de recettes malveillante.

Déroulement de l’attaque

Un scénario d'attaque typique comprend :

  • Les utilisateurs qui recherchent des éditeurs de PDF ou des manuels d'utilisation sur les moteurs de recherche se voient proposer des URL piégées ou des publicités malveillantes.
  • Cliquer sur ces liens redirige les utilisateurs vers des domaines piégés, souvent enregistrés via NameCheap, les incitant à télécharger un faux programme d'installation.
  • Le programme d'installation demande aux utilisateurs d'accepter les conditions de licence standard, puis ouvre une page de remerciement dans un nouvel onglet du navigateur pour maintenir la supercherie.
  • En arrière-plan, un fichier XML est déposé, créant une tâche planifiée qui lance une porte dérobée JavaScript obfusquée.
  • La porte dérobée communique avec des serveurs externes, transmettant des métadonnées système, telles que l'identifiant de session et l'identifiant de la machine, encodées en JSON Base64 chiffré via HTTPS.

Les objectifs finaux de cette campagne restent flous. Certaines variantes de logiciels malveillants facilitent la fraude publicitaire, tandis que d'autres pourraient être monétisées par la vente d'accès à des cybercriminels ou par la collecte de données sensibles pour des forums clandestins.

Impact géographique et sectoriel

Les données télémétriques indiquent que les utilisateurs américains sont les plus touchés, avec des infections supplémentaires signalées en Israël, en Espagne, en Allemagne, en Inde et en Irlande. Les secteurs les plus impactés sont la santé, la construction et l'industrie manufacturière, probablement en raison de leur recours fréquent à des équipements spécialisés et aux recherches en ligne de manuels d'utilisation, failles exploitées par les pirates.

Tendance

Le plus regardé

Chargement...