TamperedChef: globalna kampania malvertising z fałszywymi instalatorami i podpisanymi certyfikatami

Wprowadzenie do problemu / definicja luki

Trwająca kampania „TamperedChef” dystrybuuje złośliwe oprogramowanie poprzez fałszywe instalatory popularnych narzędzi (np. edytory PDF, czytniki manuali, gry). Atakujący intensywnie wykorzystują malvertising i SEO-poisoning, aby użytkownicy trafiali na przygotowane strony i pobierali „podpisane” aplikacje, które wyglądają i działają jak prawdziwe. Po instalacji utrzymywana jest trwałość i pobierany jest zaciemniony backdoor JavaScript, umożliwiający zdalną kontrolę i kradzież danych. Kampania jest aktywna globalnie i wciąż rozwijana.

W skrócie

• Wejście: reklamy i wyniki wyszukiwania kierują do domen z pozornie wiarygodnymi instalatorami.
• Uwiarygodnienie: pliki są podpisane certyfikatami wystawionymi na spółki-wydmuszki (LLC) rejestrowane m.in. w USA; po unieważnieniu certyfikatów operatorzy gwałtownie rotują na kolejne.
• Trwałość: tworzenie Scheduled Task z task.xml, który cyklicznie uruchamia obfuskowany JS backdoor.
• C2 / telemetria: aktywność szczególnie widoczna w USA oraz w Europie; infrastruktura oparta o domeny rejestrowane przez Namecheap i ochronę prywatności.
• Nazewnictwo: ten sam łańcuch ataku bywa raportowany jako TamperedChef lub BaoLoader; część publikacji łączy go z szeroką kampanią EvilAI.

Kontekst / historia / powiązania

Pierwsze szeroko opisywane fale dotyczyły fałszywego „AppSuite PDF Editor” i pokrewnych „PDF/Manual Readerów”, promowanych reklamami Google i podszywających się pod legalne strony. Niezależne analizy (Truesec, Broadcom/Symantec, WithSecure) potwierdzają długofalowy, iteracyjny charakter operacji oraz zmiany w łańcuchu wykonania i infrastrukturze. Część wątków łączona jest z parasolem „EvilAI”, tj. przynętami nawiązującymi do narzędzi AI.

Analiza techniczna / szczegóły kampanii

Łańcuch infekcji

1. SEO/malvertising → kliknięcie prowadzi do domen-landingów nazwanych podobnie do aplikacji (np. download[.]manualreaderpro[.]com, download[.]anyproductmanual[.]com). Rejestracje przez Namecheap, z ochroną WHOIS i krótkimi okresami ważności.
2. Instalator (funkcjonalny, z GUI i EULA) po uruchomieniu:
   • odkłada task.xml,
   • tworzy Scheduled Task uruchamiający plik JS z %APPDATA%\Programs\[Nazwa],
   • po instalacji otwiera kartę „thank you” — element socjotechniki.
3. Backdoor JS: ciężko obfuskowany (np. z użyciem obfuscator.io), zbiera identyfikatory (session/machine ID), szyfruje XOR + Base64 i komunikuje się z C2 po HTTPS; posiada zdolność zdalnego wykonywania poleceń.

Infrastruktura C2
Widziane były zarówno „losowe” subdomeny (api.[losowy].com), jak i nazwy mające mieszać się z ruchem (np. get.latest-manuals[.]com, app.catalogreference[.]com, a także api.mxpanel[.]com, api.mixpnl[.]com).

Certyfikaty i spółki-wydmuszki
Operatorzy uzyskują certyfikaty (w tym EV) dla serii anonimowych firm (np. Native Click Marketing LLC, Pixel Catalyst Media LLC, App Interplace LLC, Unified Market Group LLC), a po odwołaniu podpisów gwałtownie zastępują je nowymi. To zapewnia ciągłość dostaw i „przemysłowy” model operacyjny. Równolegle wcześniejsze fale podpisywano także podmiotami z Malezji (np. ECHO Infini SDN BHD).

Nazwy / warianty
Różni dostawcy używają różnych etykiet: TamperedChef (Acronis, Truesec), BaoLoader (Expel). W praktyce chodzi o tę samą rodzinę taktyk: fałszywe, podpisane aplikacje → trwałość → JS/C2 → kradzież danych/zdalne sterowanie.

Praktyczne konsekwencje / ryzyko

• Kradzież danych uwierzytelniających (hasła, cookies sesyjne), inwentaryzacja systemu, możliwość doinstalowania kolejnych ładunków (np. ransomware).
• Bypass zaufania dzięki ważnym podpisom — wysoki współczynnik instalacji przez pracowników.
• Ryzyko sektorowe: częstsze ofiary w ochronie zdrowia, budownictwie, produkcji (częste poszukiwanie instrukcji/sterowników).

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/Blue Teamów

• Dodaj blokady/detekcje dla znanych wzorców domen (np. download.[nazwa-app], api.*.com z listy obserwacji) oraz wskaźników latest-manuals, catalogreference, mxpanel, mixpnl. Monitoruj nowo rejestrowane domeny podobne do tych nazw.
• Wyszukaj na hostach artefakty Scheduled Tasks tworzone z task.xml oraz ścieżki %APPDATA%\Programs\[Nazwa-fałszywej-aplikacji].
• Detekcje dla wbudowanego skryptu JS: wywołania WScript, nietypowe rundll32/wscript z argumentami, deobfuskacja ciągów, wzorce XOR + Base64 przed transmisją HTTPS.
• Reaguj na nietypowe „dziękujemy za instalację” w przeglądarce po instalacji narzędzi biurowych — koreluj z nowymi wpisami zadań.
• Wprowadź kontrolę aplikacji (wdrażanie tylko z pozytywnej listy wydawców), EDR z regułami na tworzenie zadań z plików XML oraz na procesy potomne instalatorów. (Wnioski z telemetrii i technik TTP).

Dla zespołów IT/bezpieczeństwa

• Zablokuj instalacje spoza sklepu/portalu firmowego; egzekwuj „znane dobre” certyfikaty (Publisher Allow-List).
• Wdróż DNS sinkhole/filtry na kategorie malvertising/nowe domeny + reguły detekcji „typosquattingu” na nazwy aplikacji.
• Szkolenia: ostrzeż użytkowników przed „darmowymi” edytorami PDF/manual readerami z reklam i przypadkowych wyników wyszukiwania.
• Hunting retroaktywny: sprawdź instalacje od czerwca 2025 r. (szczególnie PDF/Manual Reader, chess/games) oraz nieznanych wydawców z USA/Malezji.

Różnice / porównania z innymi przypadkami

• Wcześniejsze fale TamperedChef opisywano przy AppSuite PDF Editor z długą zwłoką aktywacji i mieszanym mechanizmem trwałości (rejestr + zadania). Nowszy wariant upraszcza trwałość wyłącznie do Scheduled Task + task.xml i przechodzi na backdoor JS z intensywną obfuskacją.
• W porównaniu z typowymi loaderami, ten ekosystem skalowalnie rotuje certyfikaty i spółki-wydmuszki, co zwiększa „żywotność” łańcucha dystrybucji.
• Część vendorów klasyfikuje rodzinę jako BaoLoader — różnice nomenklatury, TTP podobne.

Podsumowanie / najważniejsze wnioski

TamperedChef to zindustrializowana kampania łącząca socjotechnikę, podpisy cyfrowe, rotację certyfikatów i złośliwe reklamy. Najbardziej niebezpieczne są wiarygodność (funkcjonalne aplikacje z podpisem), cicha trwałość (Scheduled Task z task.xml) i modułowy backdoor JS. Organizacje powinny bezwzględnie zamykać łańcuch instalacji oprogramowania, monitorować tworzenie zadań z plików XML, a także wdrożyć allow-listing wydawców i hunting IOC pod kątem wymienionej infrastruktury C2.

Źródła / bibliografia

1. The Hacker News — „TamperedChef Malware Spreads via Fake Software Installers…” (20 listopada 2025). Źródło prasowe z odnośnikami do analizy Acronis. (The Hacker News)
2. Acronis TRU — „Cooking up trouble: How TamperedChef uses signed apps to deliver stealthy payloads” (19 listopada 2025). Analiza techniczna: task.xml, JS backdoor, C2, certyfikaty/LLC. (Acronis)
3. Truesec — „TamperedChef: the bad PDF editor” (27 sierpnia 2025). Wczesna fala: AppSuite PDF Editor, certyfikaty z Malezji/USA, mechanizmy trwałości. (Truesec)
4. Trend Micro — „EvilAI” (11 września 2025). Kontekst kampanii podszywających się pod narzędzia AI/produktywne. (www.trendmicro.com)
5. WithSecure — „TamperedChef: Malvertising to Credential Theft” (3 października 2025). Ujęcie europejskie i ścieżka kradzieży poświadczeń. (Withsecure Labs)