TamperedChefとして知られた大規模なグローバルなマルバタイジングキャンペーンがシステムに積極的に感染している のは、トロイの木馬化された生産性ソフトウェア内に情報盗聴マルウェアを隠すことによってです。
現代的なセキュリティ防御をバイパスするために、Acronis Threat Research Unitが観察したところ、これらの偽造アプリケーションは国際的なペーパーカンパニーによって発行された正当な証明書でデジタル署名されています。
Unit 42は、3つの主要な脅威クラスター(CL-CRI-1089、CL-UNK-1090、およびCL-UNK-1110)全体で4,000以上の異なるマルウェアサンプルを追跡しています。
これらの悪質なキャンペーンは、AppSuite PDF、Calendaromatic、OneZip、CrystalPDFなどの一見役に立つツールを宣伝しています。
攻撃者は、大規模なコンテンツデリバリーネットワークでホストされた最新のウェブサイトを通じてツールを配布し、ダウンロードがユーザーに高速で正当で安全に見えるようにしています。
休止期間が終わると、TamperedChefソフトウェアは継続的なコマンド・アンド・コントロール接続を開始して、二次的なペイロードを取得します。
Acronisの研究者によると、初期感染メカニズムがXMLファイルをドロップしてWindowsスケジュール済みタスクを確立し、マルウェアが再起動全体でマシンに持続することを詳しく説明しています。
これらの持続メカニズムは、難読化が施されたJavaScriptバックドアを起動するために特別に設計されています。
Unit 42によると、取得されたペイロードは一般に危険な リモートアクセストロイの木馬(RATs)、ブラウザハイジャッカー、および認証情報スティーラーを含みます。
いくつかのキャンペーンでは、攻撃者はNeutralinoJsデスクトップフレームワークを独自に活用してJavaScriptペイロードを実行し、マルウェアがネイティブシステムプログラミングインターフェイスと直接相互作用し、密かにデータを吸い取ることを可能にしています。
Unit 42は、攻撃者が実際にマルウェアを配布する広告代理店、および悪質なコードに署名するために使用されるペーパーカンパニーを所有していることを強調しています。
たとえば、公開広告透明性プラットフォームは、単一のエンティティがOneZipのようなツールの数千の悪質な広告をプッシュしながら、マルウェア自体のコード署名証明書も保持していることを明らかにしました。
このような産業化されたアプローチにより、グループは侵害された証明書を迅速に放棄して新しいものを生成し、継続的な感染フローを維持することができます。
翻訳元: https://cyberpress.org/tamperedchef-abuses-signed-apps/
