Aktor-aktor ancaman telah menggunakan beberapa situs web yang dipromosikan melalui iklan Google untuk mendistribusikan aplikasi pengeditan PDF yang meyakinkan yang memberikan malware mencuri info yang disebut TamperderChef.
Kampanye ini adalah bagian dari operasi yang lebih besar dengan beberapa aplikasi yang dapat saling mengunduh, beberapa dari mereka menipu pengguna untuk mendaftarkan sistem mereka ke proxy perumahan.
Lebih dari 50 domain telah diidentifikasi untuk menjadi tuan rumah aplikasi penipuan yang ditandatangani dengan sertifikat penipuan yang dikeluarkan oleh setidaknya empat perusahaan yang berbeda.
Kampanye ini tampaknya tersebar luas dan diatur dengan baik ketika operator menunggu iklan untuk menjalankan kursus mereka sebelum mengaktifkan komponen jahat dalam aplikasi, kata para peneliti.
Pembaruan Lengkap Mengirim Infostealer
Analisis teknis dari perusahaan jasa cybersecurity Truesec menjelaskan proses infostealer tamperedchef yang dikirim ke sistem pengguna.
Para peneliti menemukan bahwa malware dikirim melalui beberapa situs web yang mempromosikan alat gratis yang disebut editor PDF AppSuite.
Berdasarkan catatan internet, para penyelidik menentukan bahwa kampanye dimulai pada 26 Juni, ketika banyak situs web yang terlibat terdaftar atau mulai mengiklankan editor PDF AppSuite.
Namun, para peneliti menemukan bahwa aplikasi jahat telah diverifikasi melalui Virustotal Layanan pemindaian malware pada 15 Mei.
Tampaknya program berperilaku normal hingga 21 Agustus, ketika menerima pembaruan yang mengaktifkan kemampuan jahat yang dibangun untuk mengumpulkan data sensitif seperti kredensial dan cookie web.
Menurut Truesec, Tamperchef Infostealer disampaikan dengan argumen “-fullupdate” untuk Executable Editor PDF.
Malware memeriksa berbagai agen keamanan di host. Ini juga menanyakan basis data dari browser web yang diinstal menggunakan DPAPI (Antarmuka Pemrograman Aplikasi Perlindungan Data) – Komponen di Windows yang mengenkripsi data sensitif.
Sumber: Truesec
Menggali lebih dalam untuk metode distribusi, para peneliti Truesec menemukan bukti yang menunjukkan bahwa aktor ancaman yang menyebarkan TamadedChef di dalam editor PDF appsuites mengandalkan iklan Google untuk mempromosikan program berbahaya.
“Truesec telah mengamati setidaknya 5 ID kampanye Google yang berbeda yang menunjukkan kampanye luas” – Truesec
Aktor ancaman kemungkinan memiliki strategi untuk memaksimalkan jumlah unduhan sebelum mengaktifkan komponen jahat dalam editor PDF appsuites, karena mereka mengirimkan infostealer hanya empat hari sebelum periode kedaluwarsa khas 60 hari untuk kampanye iklan Google.
Melihat lebih jauh ke editor PDF Appsuites, para peneliti menemukan bahwa versi program yang berbeda ditandatangani oleh sertifikat “dari setidaknya empat perusahaan,” di antaranya menggemakan Infini Sdn Bhd, Glint oleh J Sdn. Bhd, dan Summit Nexus Holdings LLC, Bhd.
Bergabung dengan proxy perumahan
Truesec menemukan bahwa operator kampanye ini telah aktif sejak setidaknya Agustus 2024 dan mempromosikan alat -alat lain, termasuk Browser Onestart dan Epibrowser.
Perlu dicatat bahwa Onestart biasanya ditandai sebagai a Program yang berpotensi tidak diinginkan (PUP), yang biasanya merupakan istilah untuk adware.
Namun, para peneliti di Detection and Response Company yang dikelola Expel juga menyelidiki insiden yang melibatkan editor PDF appsuites, ManualFinder, dan Onestart, semuanya “menjatuhkan file yang sangat mencurigakan, melaksanakan perintah yang tidak terduga, dan mengubah host menjadi proxy perumahan,” yang lebih dekat dengan perilaku seperti malware.
Mereka menemukan bahwa OnestArt dapat mengunduh AppSuite-PDF (ditandatangani oleh Echo Infini Sdn. Bhd Certificate), yang dapat mengambil editor PDF.
“Unduhan awal untuk OnestArt, AppSuite-PDF, dan Editor PDF didistribusikan oleh kampanye iklan yang besar iklan PDF dan editor PDF. Iklan ini mengarahkan pengguna ke salah satu dari banyak situs web yang menawarkan unduhan AppSuite-PDF, editor PDF, dan OnESTART,” Mengeluarkan.
Sertifikat penandatanganan kode yang digunakan dalam kampanye ini telah dicabut, tetapi risikonya masih ada untuk instalasi saat ini.
Dalam beberapa kasus editor PDF, aplikasi ini akan menunjukkan kepada pengguna pesan yang meminta izin untuk menggunakan perangkat mereka sebagai proxy perumahan sebagai imbalan untuk menggunakan alat secara gratis.
Para peneliti mencatat bahwa penyedia jaringan proxy mungkin merupakan entitas yang sah yang tidak terlibat dalam kampanye dan bahwa operator editor PDF mengkapitalisasi sebagai afiliasi.
Tampaknya siapa pun yang berada di belakang PDF Editor berusaha memaksimalkan keuntungan mereka dengan mengorbankan pengguna di seluruh dunia.
Bahkan jika program dalam kampanye ini dianggap sebagai anak anjing, kemampuannya adalah khas malware dan harus diperlakukan seperti itu.
Para peneliti memperingatkan bahwa operasi yang mereka temukan melibatkan lebih banyak aplikasi, beberapa di antaranya belum dipersenjatai, mampu mendistribusikan malware atau file yang mencurigakan, atau mengeksekusi perintah secara diam -diam pada sistem.
Kedua laporan dari Truesec dan Expel[[1, 2]Sertakan serangkaian besar indikator kompromi (IOC) yang dapat membantu para pembela melindungi pengguna dan aset dari terinfeksi.
