TamperedChef: Malware a través de instaladores de aplicaciones falsos

Redazione RHC : 21 noviembre 2025 19:21

La campaña a gran escala de TamperedChef vuelve a atraer la atención de los especialistas, ya que los atacantes continúan distribuyendo malware a través de instaladores falsos de aplicaciones populares.

Esta estafa, disfrazada de software legítimo, ayuda a engañar a los usuarios y a obtener acceso persistente a sus dispositivos. El equipo de Acronis destaca que la actividad continúa: se descubren nuevos archivos y la infraestructura asociada sigue operativa.

El método se basa en la ingeniería social. Utiliza nombres de utilidades conocidas, anuncios de clics falsos, optimización para motores de búsqueda y certificados digitales falsos. Los investigadores Darrell Virtusio y József Gegenyi explican que estos elementos aumentan la confianza en los instaladores y ayudan a eludir los mecanismos de seguridad.

La campaña ha recibido el apodo de TamperedChef porque los instaladores falsos que crea sirven como conductos para el malware homónimo. Esta actividad se considera parte de una serie más amplia de operaciones de EvilAI que utilizan señuelos vinculados a herramientas basadas en inteligencia artificial.

Para dar credibilidad a las aplicaciones falsas, el grupo operador utiliza certificados emitidos a empresas ficticias en Estados Unidos, Panamá y Malasia. Cuando se revocan los certificados antiguos, se emiten otros nuevos con el nombre de una empresa diferente. Acronis destaca que esta infraestructura se asemeja a un proceso de producción organizado, lo que permite la emisión continua de nuevas claves y el ocultamiento de código malicioso tras compilaciones firmadas.

Es importante señalar que varias empresas han identificado diferentes amenazas bajo el nombre TamperedChef: algunos equipos de investigación utilizan el nombre BaoLoader , y el archivo malicioso original con este nombre estaba integrado en una aplicación de recetas falsa desarrollada por EvilAI .

Un escenario típico de infección comienza cuando un usuario busca manuales de hardware o utilidades en PDF. Los resultados contienen enlaces publicitarios o resultados falsificados que redirigen a dominios maliciosos registrados a través de NameCheap . Tras descargar y ejecutar el instalador, el usuario ve un contrato estándar y, al finalizar, aparece un mensaje de agradecimiento en una nueva ventana del navegador.

En este punto, se crea un archivo XML en la máquina que incorpora un componente JavaScript oculto de ejecución diferida al sistema . Este módulo se conecta a un nodo externo y envía los identificadores básicos del dispositivo y de la sesión como un paquete JSON cifrado y codificado mediante HTTPS.

Los objetivos de los operadores siguen sin estar claros. Algunas versiones del malware se han utilizado en campañas publicitarias engañosas, lo que indica un intento de obtener beneficios directos. También es posible que el acceso se venda a otros grupos delictivos o se utilice para recopilar datos confidenciales para su posterior reventa en mercados clandestinos.

Según datos de telemetría, Estados Unidos registró el mayor número de contagios. También se registraron ataques, aunque en menor medida, en Israel, España, Alemania, India e Irlanda . Las organizaciones de los sectores sanitario, de la construcción y manufacturero fueron las más afectadas. Los expertos atribuyen esto a que los empleados de estas empresas suelen buscar en línea manuales de instrucciones para equipos especializados, lo que los hace vulnerables a este tipo de ataques.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli