В мире кибербезопасности обнаружен новый коварный вредоносный программа-похититель информации под названием TamperedChef, который маскируется под полезное программное обеспечение, такое как редакторы PDF и средства чтения инструкций. Особенность этой угрозы заключается в продвинутой тактике отсроченной активации, позволяющей malware (вредоносному программному обеспечению) оставаться незамеченным в течение нескольких недель до начала активных действий.
Описание
Тактика распространения и маскировки
Исследователи кибербезопасности выявили, что TamperedChef распространяется через злонамеренные установщики, имитирующие легитимные приложения. Основными каналами распространения стали кампании malvertising (злонамеренной рекламы) и скомпрометированные сайты для загрузки программ. Угроза была обнаружена в пакетах с такими приложениями, как TotalUserManuals, ManualReaderPro, AllManualsReader, JustAskJacky и другими подобными программами.
Уникальной особенностью данного стилера является механизм отсроченного запуска. После установки malware может оставаться в спящем состоянии до нескольких недель, что значительно усложняет его обнаружение и установление связи с первоначальной точкой заражения. Такой подход позволяет злоумышленникам создать обширную сеть зараженных систем до начала активных операций.
Технический механизм работы
Процесс заражения начинается с выполнения пользователем зараженного установщика. После запуска TamperedChef активирует Node.js через командную строку Windows, используя минимизированное окно для скрытия своей деятельности. JavaScript полезная нагрузка размещается в временной папке пользователя и выполняется через Node.js runtime.
Для обеспечения постоянного присутствия в системе malware создает запланированную задачу с убедительным названием, напоминающим системный компонент. Задача настраивается на ежедневное выполнение с интервалом повторения 240 минут, что обеспечивает непрерывную работу вредоносной программы даже после перезагрузки системы.
Тактика разведки и обхода защиты
TamperedChef демонстрирует сложное поведение при оценке окружения. Используя Windows Management Instrumentation (WMI), вредоносная программа проверяет наличие запущенных браузеров, таких как Chrome и Edge. Кроме того, через системный реестр осуществляется поиск установленного антивирусного программного обеспечения и средств безопасности, включая продукты Kaspersky, Bitdefender, Fortinet и других вендоров.
Сбор информации о системе безопасности позволяет злоумышленникам адаптировать свои действия для обхода защиты и целевого сбора данных. Этот этап разведки является критически важным для последующего успешного извлечения учетных данных.
Кража учетных данных и данных
Основной целью TamperedChef является извлечение учетных данных из различных источников. Вредоносная программа нацелена на SQLite базы данных браузеров, защищенные данные Windows DPAPI и локальные менеджеры паролей. Для обеспечения доступа к файлам браузеров malware принудительно завершает процессы браузеров, после чего создает копии критически важных файлов с данными аутентификации.
Особенностью метода извлечения является создание дубликатов файлов с добавлением "Sync" к имени, что позволяет злоумышленникам получить доступ к учетным данным без повреждения оригинальных файлов, сохраняя скрытность операции.
Коммуникация и управление
Установлено, что TamperedChef взаимодействует с управляемыми злоумышленниками серверами через домены вида api.[случайные18символов].com на портах 8080 и 443, что является нетипичным для легитимных приложений. Этот канал связи используется для передачи собранных учетных данных и получения обновленных полезных нагрузок или инструкций.
Тактики MITRE ATT&CK
Анализ поведения TamperedChef позволяет отнести его к нескольким тактикам матрицы MITRE ATT&CK: выполнение через интерпретатор команд и скриптов (T1059), доступ к учетным данным из хранилищ паролей (T1555) и дамп учетных данных ОС (T1003), уклонение от защиты через выполнение подписанных бинарных файлов (T1218) и маскировку (T1036), постоянство через запланированные задачи (T1053), а также обнаружение системной информации (T1082) и запросы к реестру (T1012).
Рекомендации по обнаружению
Для выявления активности TamperedChef специалисты по безопасности рекомендуют мониторить выполнение JavaScript через node.exe, инициированное процессом cmd.exe, отслеживать запросы к реестру, связанные с антивирусным программным обеспечением, регистрировать принудительное завершение процессов браузеров, а также анализировать исходящий трафик на нестандартные домены с определенным шаблоном именования.
Обнаружение TamperedChef подчеркивает важность соблюдения принципов безопасной загрузки программного обеспечения исключительно из официальных источников и необходимость реализации многоуровневой защиты, включающей поведенческий анализ и мониторинг сетевой активности. Своевременное обновление систем безопасности и повышение осведомленности пользователей остаются ключевыми элементами защиты от подобных угроз.
Индикаторы компрометации
Domains
- api.cjby76nlcynrc4jvrb.com
- api.j6vmldsufhwx8zn69z.com
- api.k2ioeasm874fnacr9x.com
- api.pyej17uw09d1bqlndg.com
- api.vtqgo0729ilnmyxs9q.com
