Negli ultimi mesi è emersa una pericolosa campagna di malvertising globale nota come TamperedChef, che sfrutta installatori software falsi per diffondere malware su larga scala. I cyber criminali, attraverso tecniche avanzate di ingegneria sociale e SEO, puntano a ingannare gli utenti facendogli scaricare applicazioni apparentemente legittime che in realtà infettano il sistema con backdoor JavaScript persistenti. Il fine principale di questa attività è garantire un accesso remoto e continuo ai sistemi compromessi, consentendo agli attaccanti un controllo duraturo e la possibilità di rubare informazioni sensibili.
La strategia dietro TamperedChef
La strategia alla base di TamperedChef si fonda sull'utilizzo di nomi di programmi comuni per creare fiducia, sull'acquisto di annunci pubblicitari malevoli e sull'ottimizzazione delle pagine per i motori di ricerca. Un altro elemento chiave è l'abuso di certificati digitali per firmare gli installatori fraudolenti. Questi certificati vengono spesso emessi a favore di società fittizie registrate in paesi come Stati Uniti, Panama e Malesia, e quando revocati vengono rapidamente sostituiti con nuovi, mantenendo così attiva la catena di compromissione.
La dinamica dell’attacco
Quando l’utente ricerca software come editor PDF o manuali di prodotto su motori di ricerca come Bing, viene indirizzato su domini preparati appositamente dai criminali tramite pubblicità ingannevoli o link manipolati. Una volta scaricato e avviato l’installer, il programma chiede di accettare i termini di licenza e apre una pagina di ringraziamento per rassicurare la vittima. Nel frattempo, in background, viene creato un task pianificato tramite un file XML che esegue una backdoor JavaScript offuscata.
Obiettivi e bersagli della campagna
Questa backdoor comunica con server remoti inviando informazioni come ID sessione, ID macchina e altri metadati, cifrati e codificati in Base64 su HTTPS. Le finalità della campagna sono varie e includono la frode pubblicitaria, il furto di dati e la rivendita di accessi nei forum underground, colpendo principalmente settori come sanità, costruzioni e industria manifatturiera, soprattutto negli Stati Uniti e in altri paesi tra cui Israele, Spagna, Germania, India e Irlanda.
Una minaccia difficile da individuare
La pericolosità di TamperedChef risiede nella sua capacità di mascherarsi come software autentico sfruttando la fiducia nei certificati digitali e nelle pratiche di installazione comuni, rendendo difficile l’individuazione e la rimozione da parte degli utenti e dei sistemi di sicurezza.