Criminosos cibernéticos estão utilizando instaladores falsos que se passam por softwares populares para enganar usuários e infectar seus dispositivos com malware.
Essa estratégia faz parte de uma campanha global de malvertising batizada de TamperedChef.
Segundo relatório recente da Acronis Threat Research Unit (TRU), o principal objetivo desses ataques é garantir persistência no sistema e distribuir malware em JavaScript que permite controle e acesso remoto.
A empresa, sediada em Cingapura, alerta que a campanha continua ativa, com novos artefatos sendo identificados e a infraestrutura ainda operacional.
De acordo com os pesquisadores Darrel Virtusio e Jozsef Gegeny, os operadores aplicam engenharia social, explorando nomes de aplicativos comuns, malvertising, técnicas de SEO (Search Engine Optimization) e certificados digitais fraudulentos para ganhar a confiança dos usuários e evitar a detecção pelos sistemas de segurança.
A campanha TamperedChef, de longa duração, emprega instaladores aparentemente legítimos de diversas ferramentas para disseminar um malware do tipo information stealer, que rouba dados dos dispositivos infectados.
Ela faz parte de um conjunto maior de ataques denominado EvilAI, que atrai vítimas com iscas relacionadas a ferramentas e softwares de inteligência artificial.
Para conferir um aspecto mais legítimo aos aplicativos falsificados, os atacantes utilizam certificados de assinatura de código emitidos para empresas de fachada registradas nos Estados Unidos, Panamá e Malásia.
À medida que certificados antigos são revogados, eles obtêm novos sob outras empresas.
A infraestrutura, descrita pela Acronis como “industrializada e empresarial”, permite a criação contínua desses certificados, explorando a confiança inerente a aplicativos assinados digitalmente para mascarar o malware.
É importante destacar que o malware identificado como TamperedChef pela Truesec e G DATA também é chamado BaoLoader pela Expel, diferindo do malware originalmente nomeado TamperedChef, embutido em um aplicativo de receitas malicioso vinculado à campanha EvilAI.
A Acronis explicou ao The Hacker News que adota o nome TamperedChef para se referir à família de malware dada sua ampla aceitação na comunidade de cibersegurança, o que evita confusões e mantém consistência com outras publicações e nomes de detecção usados por fornecedores.
O ataque típico ocorre da seguinte forma: usuários que buscam editores de PDF ou manuais de produtos em motores de busca como Bing são expostos a anúncios maliciosos ou links contaminados.
Ao clicar, são redirecionados para domínios fraudulentos registrados no NameCheap, que induzem o download dos instaladores falsos.
Quando o instalador é executado, o usuário deve concordar com os termos de licença.
Em seguida, uma nova aba do navegador é aberta exibindo uma mensagem de agradecimento para reforçar a aparência legítima do processo.
Em segundo plano, um arquivo XML é criado para agendar uma tarefa que ativa um backdoor JavaScript ofuscado.
Esse backdoor conecta-se a um servidor externo e transmite informações básicas, como IDs de sessão e da máquina, além de outros metadados, em formato JSON criptografado e codificado em Base64 via HTTPS.
Os objetivos finais da campanha ainda não estão totalmente claros.
Em algumas variações, o malware tem sido usado para fraudes publicitárias, indicando motivação financeira.
Outra hipótese é que os atacantes vendam o acesso obtido a outros cibercriminosos ou coletem dados sensíveis para comercializá-los em fóruns clandestinos e facilitar fraudes.
Dados de telemetria indicam que a maioria das infecções ocorre nos Estados Unidos, com ocorrências menores em Israel, Espanha, Alemanha, Índia e Irlanda.
Os setores mais afetados são saúde, construção e manufatura.
Segundo os pesquisadores, essas áreas são mais vulneráveis provavelmente por dependerem de equipamentos altamente técnicos e especializados, o que leva usuários a buscar manuais online — comportamento explorado pela campanha TamperedChef.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...