Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di applicazioni popolari.
Questa truffa, mascherata da software legittimo, aiuta a ingannare gli utenti e a ottenere un accesso persistente ai dispositivi. Il team Acronis sottolinea che l’attività continua: vengono scoperti nuovi file e l’infrastruttura associata rimane operativa.
Il metodo si basa sull’ingegneria sociale. Utilizza nomi di utility note, annunci con clic falsi, ottimizzazione per i motori di ricerca e falsi certificati digitali. I ricercatori Darrell Virtusio e József Gegenyi spiegano che questi elementi aumentano la fiducia negli installatori e aiutano a bypassare i meccanismi di sicurezza.
La campagna è stata soprannominata TamperedChef perché i falsi installer creati fungono da tramite per il malware omonimo. Questa attività è considerata parte di una serie più ampia di operazioni EvilAI che utilizzano esche collegate a strumenti basati sull’intelligenza artificiale.
Per dare credibilità alle app false, il gruppo di operatori utilizza certificati rilasciati a società fittizie negli Stati Uniti, a Panama e in Malesia. Quando i vecchi certificati vengono revocati, ne vengono emessi di nuovi con un nome aziendale diverso. Acronis sottolinea che questa infrastruttura assomiglia a un processo di produzione organizzato, consentendo l’emissione continua di nuove chiavi e l’occultamento di codice dannoso dietro build firmate.
È importante notare che diverse aziende hanno identificato diverse minacce sotto il nome TamperedChef: alcuni team di ricerca utilizzano la denominazione BaoLoader e il file dannoso originale con questo nome era incorporato in una falsa app di ricette sviluppata da EvilAI.
Un tipico scenario di infezione inizia con un utente che cerca manuali hardware o utility in formato PDF. I risultati contengono link pubblicitari o risultati falsificati, che rimandano a domini dell’aggressore registrati tramite NameCheap. Dopo aver scaricato ed eseguito il programma di installazione, all’utente viene presentato un contratto standard e, al termine, un messaggio di ringraziamento viene visualizzato in una nuova finestra del browser.
A questo punto, sulla macchina viene creato un file XML che incorpora nel sistema un componente JavaScript nascosto con esecuzione ritardata. Questo modulo si connette a un nodo esterno e invia gli identificatori di base del dispositivo e della sessione come pacchetto JSON crittografato e codificato tramite HTTPS.
Gli obiettivi degli operatori rimangono poco chiari. Alcune versioni del malware sono state utilizzate in campagne pubblicitarie ingannevoli, il che indica un tentativo di trarre profitto diretto. È anche possibile che l’accesso venga venduto ad altri gruppi criminali o utilizzato per raccogliere dati riservati da rivendere successivamente sui mercati ombra.
Secondo i dati di telemetria, gli Stati Uniti hanno registrato il maggior numero di infezioni. Gli attacchi hanno colpito numeri minori anche in Israele, Spagna, Germania, India e Irlanda. Le organizzazioni dei settori sanitario, edile e manifatturiero sono le più colpite. Gli esperti attribuiscono ciò al fatto che i dipendenti di queste aziende cercano regolarmente online manuali di istruzioni per attrezzature specializzate, rendendoli vulnerabili a tali trappole.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia