Киберпреступники маскируют вредоносное ПО под легитимные приложения в рамках кампании TamperedChef

22 сентября 2025 года в ходе анализа потенциально нежелательного приложения (ПНП), помеченного Microsoft Defender как вредоносное, компания Field Effect обнаружила масштабную кампанию по распространению вредоносного программного обеспечения. Злоумышленники используют цифровую подпись бинарных файлов, обманчивую упаковку и программы для изменения настроек браузера.

Описание

Кампания сфокусирована вокруг двух вредоносных приложений: ImageLooker.exe и Calendaromatic.exe. Оба приложения, вероятно, доставлялись через самораспаковывающиеся архивы 7-Zip, предназначенные для обхода стандартных средств контроля безопасности. Дальнейшее исследование показало, что эти артефакты соответствуют ранее зафиксированной кампании TamperedChef, в которой используются троянизированные инструменты для повышения производительности труда с целью получения первоначального доступа и хищения конфиденциальных данных.

Важно отметить, что ПНП - программное обеспечение, которое может не быть откровенно вредоносным, но демонстрирует навязчивое поведение, - могут служить эффективными механизмами доставки для более серьёзных угроз.

Расследование началось 22 сентября 2025 года с бинарных файлов, подписанных компанией CROWN SKY LLC. Этот подписчик ранее уже ассоциировался с файлом Calendaromatic.exe, непритязательным настольным приложением, разработанным так, чтобы выглядеть как инструмент-календарь. Отчёт о независимом исследовании от 17 сентября 2025 года связал этот исполняемый файл с продвинутой кампанией, использующей современные фреймворки для приложений и скрытые каналы для доставки вредоносного ПО. Файл, использовавшийся в кампании, представлял собой архив 7-Zip, упакованный как исполняемый файл (.exe), который может автоматически извлекать своё содержимое при запуске.

Команда специалистов также идентифицировала исполняемый файл ImageLooker, также подписанный CROWN SKY, который использовал аналогичный метод самораспаковывающейся упаковки 7-Zip. При запуске ImageLooker.exe обращался к домену movementxview[.]com, ранее не связанному с Calendaromatic.

Исполняемые файлы собраны с использованием NeutralinoJS - облегчённого фреймворка для создания настольных приложений, который позволяет исполнять произвольный JavaScript-код. Распространение осуществлялось через вводящую в заблуждение рекламу и манипуляции с результатами поисковых систем. Вредоносное программное обеспечение использует символы-омоглифы Юникода для кодирования и выполнения скрытых вредоносных нагрузок, обходя традиционные механизмы обнаружения.

Связь Calendaromatic с кампанией TamperedChef была подтверждена через репозиторий образцов вредоносного ПО MalwareBazaar. TamperedChef использует множество цифровых подписчиков и ПНП для перенаправления трафика, изменения настроек браузера и обеспечения загрузки вредоносного программного обеспечения.

Дальнейшее расследование выявило более широкий набор подозрительных издателей сертификатов, связанных с бинарными файлами TamperedChef. В их число вошли LIMITED LIABILITY COMPANY APPSOLUTE, CROWN SKY LLC, OneStart Technologies LLC, Sunstream Labs (Capital Intellect Inc.), Echo Infini Sdn. Bhd., GLINT SOFTWARE SDN. BHD., SPARROW TIDE LTD, TECHNODENIS LTD, INCREDIBLE MEDIA INC и Global Tech Allies Ltd. За этими издателями наблюдалось подписание бинарных файлов, демонстрирующих схожие методы упаковки, поведение и пересекающуюся инфраструктуру с известными артефактами TamperedChef и/или аналогичной вредоносной активностью.

Многие из этих издателей ранее были замешаны в вредоносной деятельности, связанной с троянизированными инструментами для продуктивности, программами для изменения браузеров и использованием резидентных прокси. Их присутствие в множестве образцов позволяет предположить либо использование общего поставщика вредоносного ПО как услуги (Malware-as-a-Service), либо существование рынка для злоупотребления услугами цифровой подписи кода, что облегчает широкое распространение.

Злоумышленники, стоящие за вредоносным ПО Calendaromatic и ImageLooker, применяли методы обманчивой упаковки программного обеспечения и цифровой подписи кода, чтобы обойти доверие пользователей и защитные механизмы на конечных точках. Обе разновидности вредоносного программного обеспечения доставлялись в виде самораспаковывающихся архивов 7-Zip, возможно, с использованием уязвимости CVE-2025-0411 для обхода защиты Windows Mark of the Web. Это позволяло бинарным файлам исполняться без активации SmartScreen или других средств контроля, основанных на репутации. Использование подписанных бинарных файлов дополнительно снижало заметность во время выполнения и увеличивало вероятность взаимодействия с ними пользователя.

После запуска вредоносное программное обеспечение обеспечивало своё постоянное присутствие в системе через запланированные задачи и модификации реестра, используя такие флаги командной строки, как --install, --enableupdate и --fullupdate. Использование NeutralinoJS для выполнения JavaScript-нагрузок и взаимодействия с нативными системными API позволяло осуществлять скрытый доступ к файловой системе, порождать процессы и осуществлять сетевое взаимодействие. Использование символов-омоглифов Юникода для кодирования нагрузок внутри казалось бы безобидных ответов API позволяло вредоносному программному обеспечению обходить обнаружение на основе сигнатур и анализа строк.

Сетевая активность выявила исходящие соединения с такими доменами, как calendaromatic[.]com и movementxview[.]com. Эти домены функционируют как инфраструктура управления и контроля и опрашивались немедленно после выполнения вредоносной программы. Вредоносное программное обеспечение также похищало данные браузера, включая сохранённые учётные данные и информацию о сеансах, что указывает на фокус на сбор учётных данных и проведение разведки. Присутствие в той же экосистеме программ для изменения браузеров и ПНП, таких как OneSearch, позволяет предположить, что инфраструктура рекламного ПО могла быть перепрофилирована для облегчения распространения вредоносного программного обеспечения и получения первоначального доступа.

Опора кампании на широкий набор подозрительных издателей сертификатов может указывать на скоординированную или общую сеть распространения. За этими издателями наблюдалось подписание бинарных файлов со схожими характеристиками упаковки и поведения, что предполагает либо общего поставщика, либо рынок для злоупотребления услугами цифровой подписи кода.

Кампания TamperedChef наглядно демонстрирует, как злоумышленники развивают свои механизмы доставки, weaponizing потенциально нежелательные приложения, злоупотребляя цифровой подписью кода и развёртывая скрытые техники кодирования. Эти тактики позволяют вредоносному программному обеспечению маскироваться под легитимное программное обеспечение, обходить защитные механизмы на конечных точках и использовать доверие пользователей.

Кампания, вероятно, использует отравление результатов поисковой выдачи (SEO poisoning) наряду с malicious advertising (недобросовестной рекламой), чтобы направлять ничего не подозревающих пользователей к вредоносным загрузкам. Кампания эксплуатирует типичное поведение пользователей, такое как клики на спонсируемые результаты поиска или баннеры, обещающие бесплатные утилиты, для перенаправления жертв на обманчивые целевые страницы. Злоумышленники манипулируют результатами поисковых систем, создавая насыщенные ключевыми словами страницы, которые занимают высокие позиции в выдаче по запросам вроде «бесплатный редактор PDF», «календарное приложение для Windows» или «скачать просмотрщик изображений». Эти страницы часто имитируют легитимные сайты программного обеспечения, complete с поддельными отзывами, счётчиками загрузок и знаками доверия.

Использование цифрово подписанных бинарных файлов и самораспаковывающихся архивов дополнительно снижает подозрительность, позволяя вредоносному программному обеспечению маскироваться под полезные утилиты, одновременно обходя защитные механизмы, основанные на репутации.

ПНП могут быть установлены без полного осознания пользователем и часто выполняют навязчивые действия, такие как показ рекламы, сбор данных о просмотрах или перенаправление трафика. Хотя они не всегда классифицируются как вредоносное программное обеспечение, их присутствие может снижать производительность системы и создавать серьёзные риски безопасности. В данной кампании ПНП, по-видимому, использовались для распространения вредоносного программного обеспечения или обеспечения первоначального доступа. Бдительность при выборе источников программного обеспечения, мониторинг конечных точек и проверка сертификатов необходимы для снижения рисков в неподконтрольных средах.