Campagna globale “TamperedChef”: un malware mascherato da installer legittimi

Ricercatori della Acronis Threat Research Unit (TRU) hanno scoperto una campagna malvertising in corso, denominata TamperedChef, nella quale attori minacciosi distribuiscono malware tramite installer fasulli che sembrano applicazioni comuni. 

L’obiettivo dell’attacco è guadagnare persistenza sui sistemi infetti e consegnare un payload JavaScript che apre una backdoor, permettendo controllo remoto sui dispositivi. 

Meccanismo dell’attacco

• Gli aggressori usano il social engineering, SEO malevola (ottimizzazione per motori di ricerca) e malvertising per attirare vittime su domini trappola registrati (ad esempio tramite NameCheap). 
• Gli installer sono firmati con certificati digitali validi, ottenuti da società “fantasma” registrate in Paesi come Stati Uniti, Panama e Malesia, per aumentare la fiducia e aggirare i controlli di sicurezza. 
• Quando l’utente esegue l’installer, appare una finestra per accettare i termini di licenza e, al completamento, si apre una scheda del browser che ringrazia l’utente, per mascherare l’attività malevola in background. 
• Dietro le quinte, il setup crea un file XML che configura un task schedulato per eseguire uno script JavaScript offuscato che funge da backdoor. 
• Il malware stabilisce una connessione HTTPS verso un server remoto e invia informazioni (es. ID di sessione, ID macchina) in forma JSON cifrata e codificata in Base64. 

Origine e nome

• “TamperedChef” è il nome usato da Acronis per questa famiglia di malware, anche se altri vendor lo identificano come BaoLoader. 
• Il nome “TamperedChef” deriva da una precedente variante che era stata distribuita in un’app di ricette malevola, nell’ambito di una più ampia operazione chiamata EvilAI. 
• Nel corso del tempo, quando i certificati digitali vengono revocati, gli attaccanti ne ottengono di nuovi, continuando a firmare le applicazioni malevole come se fossero legittime. 

Obiettivi dell’attaccante

• Le motivazioni non sono ancora del tutto chiare. In alcune varianti, il malware sembra facilitare frodi pubblicitarie, suggerendo uno scopo finanziario. 
• Potrebbe anche essere usato per vendere l’accesso ad altri attori criminali o per esfiltrare dati sensibili (credenziali, cookie, ecc.) e rivenderli in sotto-mercati illegali. 

Impatti geografici e settoriali

• Dalle telemetrie raccolte, le infezioni sono più concentrate negli Stati Uniti, ma ci sono anche casi in Israele, Spagna, Germania, India, Irlanda. 
• I settori più colpiti risultano essere sanitario, edilizia e manifatturiero, probabilmente perché gli utenti di queste industrie cercano spesso manuali tecnici online (comportamento che viene sfruttato dagli attaccanti). 

Raccomandazioni per la mitigazione

• Evitare di scaricare software da fonti non ufficiali o da inserzioni pubblicitarie sospette.
• Controllare i certificati digitali delle applicazioni prima di installarle.
• Analizzare la presenza di attività programmate insolite (scheduled tasks) sui sistemi.
• Monitorare le connessioni in uscita verso server sconosciuti e cifrate.
• Utilizzare soluzioni di sicurezza avanzate (es. EDR) per rilevare attività sospette come l’esecuzione di script JS offuscati.

SOC