Malware TamperedChef

Los actores de amenazas están explotando instaladores falsos que se hacen pasar por aplicaciones de uso común en una campaña global de malvertising conocida como TamperedChef. Los usuarios que descargan estos programas falsificados instalan inadvertidamente malware diseñado para establecer persistencia en sus sistemas e implementar una puerta trasera JavaScript para acceso y control remotos. Al momento de la publicación del informe, la campaña seguía activa, con nuevos artefactos maliciosos detectados y la infraestructura asociada aún operativa.

Ingeniería social y explotación de la confianza

Los operadores detrás de TamperedChef utilizan técnicas de ingeniería social para maximizar la confianza del usuario y evitar ser detectados. Sus métodos incluyen:

• Usar nombres de aplicaciones familiares para atraer descargas
• Implementar campañas de publicidad maliciosa para llegar a los usuarios a través de anuncios en línea
• Cómo emplear tácticas de optimización de motores de búsqueda (SEO) para aparecer en los resultados de búsqueda
• Firma de malware con certificados digitales mal utilizados, que les confieren un aire de legitimidad.

Los certificados suelen emitirse a empresas fantasma registradas en EE. UU., Panamá y Malasia. A medida que se revocan los certificados antiguos, los atacantes adquieren continuamente nuevos con diferentes nombres de empresa, manteniendo así la apariencia de legitimidad. Expertos en seguridad informática han descrito esta infraestructura como altamente organizada, lo que permite la producción constante de instaladores de apariencia confiable.

Familia de malware y contexto de campaña

TamperedChef forma parte de una campaña más amplia, cuyo nombre en código es EvilAI, que utiliza señuelos vinculados a herramientas y software de inteligencia artificial (IA) para la distribución de malware. Si bien TamperedChef se ha convertido en el nombre ampliamente adoptado para la familia de malware, algunos informes también lo identifican como BaoLoader. El nombre TamperedChef ayuda a mantener la coherencia entre las publicaciones de ciberseguridad y las detecciones de los proveedores, a pesar de que difiere del malware TamperedChef original, integrado en una aplicación de recetas maliciosa.

Cómo se desarrolla el ataque

Un escenario de ataque típico incluye:

• Los usuarios que buscan editores de PDF o manuales de productos en motores de búsqueda reciben URL envenenadas o anuncios maliciosos.
• Al hacer clic en estos enlaces, los usuarios son redirigidos a dominios con trampas, a menudo registrados a través de NameCheap, lo que les solicita que descarguen un instalador falso.
• El instalador solicita a los usuarios que acepten los términos de licencia estándar y luego abre una página de agradecimiento en una nueva pestaña del navegador para mantener el engaño.

• En segundo plano, se suelta un archivo XML, lo que crea una tarea programada que inicia una puerta trasera de JavaScript ofuscada.

• La puerta trasera se comunica con servidores externos y transmite metadatos del sistema, como el ID de sesión y el ID de la máquina, codificados en JSON Base64 encriptado a través de HTTPS.

Los objetivos finales de la campaña siguen sin estar claros. Algunas variantes de malware facilitan el fraude publicitario, mientras que otras podrían monetizarse mediante la venta de acceso a ciberdelincuentes o la recopilación de datos confidenciales para foros clandestinos.

Impacto geográfico y sectorial

La telemetría indica que los usuarios estadounidenses son los más afectados, con infecciones adicionales reportadas en Israel, España, Alemania, India e Irlanda. Los sectores más afectados incluyen la salud, la construcción y la manufactura, probablemente debido a su frecuente dependencia de equipos especializados y búsquedas en línea de manuales de productos, que los atacantes aprovechan.