03/09/25
За личиной инструмента скрывался инфостилер TamperedChef, способный извлекать частную информацию с заражённых устройств.
Анализ показал, что за операцией стоит хорошо организованная группа, использующая сразу несколько приложений, способных загружать друг друга и втягивать системы жертв в схемы с использованием резидентных прокси. Об этом пишет Securitylab.
Некоторые из этих программ также вводят пользователей в заблуждение, предлагая бесплатно пользоваться функциональностью в обмен на согласие использовать их устройства как часть прокси-сети.
Truesec выявила более 50 доменов, на которых размещались вредоносные сборки, подписанные поддельными цифровыми сертификатами от как минимум четырёх различных компаний, включая ECHO Infini SDN BHD, GLINT By J SDN. BHD и SUMMIT NEXUS Holdings LLC.
Согласно техническому отчёту Truesec, вредоносная активность TamperedChef активировалась не сразу. Сначала приложение вело себя как обычный PDF-редактор, и лишь 21 августа — спустя почти 2 месяца после начала рекламной кампании — получило обновление, запускающее вредоносные функции. Именно тогда в систему пользователя загружалась вредоносная версия с аргументом-fullupdate, активирующим инфостилер.
Заражённое приложение проверяет наличие защитных решений на машине, а затем извлекает данные из браузеров, используя Windows-компонент DPAPI (Data Protection API) — стандартный механизм защиты чувствительной информации. Это позволяет TamperedChef похищать пароли, куки и другие персональные данные, хранящиеся в системах пользователей.
Расследование показало, что злоумышленники использовали как минимум 5 уникальных идентификаторов рекламных кампаний Google Ads, что указывает на широкую географию и целенаправленное распространение. При этом вредоносная активность была активирована ближе к завершению 60-дневного срока действия рекламных объявлений, что может свидетельствовать о стратегии максимизации количества загрузок до включения вредоносной функции.
Программы распространялись через десятки сайтов, рекламировавших AppSuite PDF Editor как бесплатный и удобный инструмент. Среди загружаемых исполняемых файлов были также другие приложения, такие как OneStart и Epibrowser — браузеры, которые ранее классифицировались как потенциально нежелательные программы (PUP), но в данном случае демонстрировали поведение, характерное для полноценного вредоносного ПО.
Параллельно с Truesec расследование провели аналитики из компании Expel. Они подтвердили, что OneStart, AppSuites PDF и ещё один компонент под названием ManualFinder могут выполнять подозрительные команды, загружать вредоносные модули и регистрировать устройства в резидентных прокси-сетях.
В отдельных случаях пользователям отображалось окно, предлагающее бесплатно пользоваться редактором PDF в обмен на разрешение использовать их устройство как часть прокси-инфраструктуры. Исследователи подчёркивают, что провайдер прокси-сети может быть легитимной компанией и не быть напрямую связан с кампанией, а злоумышленники просто выступают в роли аффилиатов, извлекая выгоду за счёт пользователей.
Хотя некоторые из упомянутых программ формально классифицируются как PUP, исследователи подчёркивают, что по своему функционалу они полностью соответствуют критериям вредоносного ПО. Установка таких приложений может привести не только к утечке данных, но и к бесконтрольному использованию систем в схемах проксификации и дальнейшего распространения угроз.
