Зловред TamperedChef внедряется под видом PDF-читалки, а после заражения выводит жертве фразу “спасибо за доступ»

Во время демонстрации безобидного уведомления на экране в фоновом режиме запускается скрытый скрипт, который незаметно подключает устройство к подпольной инфраструктуре злоумышленников.

Кампания TamperedChef снова оказалась в центре обсуждений экспертов по кибербезопасности. Операторы продолжают распространять вредоносные инструменты через подменённые инсталляторы популярных программ, что позволяет им использовать привычные для пользователей оболочки и тем самым получать стабильный доступ к заражённым машинам. По наблюдениям специалистов Acronis, поток новых файлов не прекращается, а обслуживающая их инфраструктура остаётся полностью активной.

Основу подхода составляет социальная инженерия. Атакующие подделывают названия известных утилит, размещают рекламные ссылки с перенаправлениями, продвигают свои ресурсы в поисковой выдаче и подписывают вредоносные сборки фальшивыми цифровыми сертификатами. Как отмечают исследователи Даррел Виртусио и Йожеф Гегеньи, совокупность этих методов создаёт иллюзию легитимности и помогает обходить механизмы защиты.

Название TamperedChef закрепилось за этой серией атак из-за фиктивных установщиков, которые служат точкой входа одноимённого вредоносного ПО. Данная активность фигурирует в составе широкой цепочки операций EvilAI, где злоумышленники используют приманки, связанные с инструментами на основе искусственного интеллекта.

Для повышения доверия пользователей операторы применяют сертификаты, зарегистрированные на несуществующие организации из США, Панамы и Малайзии. Когда очередной сертификат блокируется, появляется новый — с другим именем компании. По оценкам Acronis, эта система работает по принципу конвейера: выпуск свежих ключей налажен так, чтобы непрерывно подпитывать кампанию новыми подписанными файлами.

Важно учитывать, что термин TamperedChef используется в отрасли неоднозначно. Некоторые исследовательские группы применяют обозначение BaoLoader к связанным семействам вредоносного ПО, а оригинальный файл с названием TamperedChef впервые был обнаружен внутри поддельного приложения с рецептами, используемого в рамках кампании EvilAI.

Типичный сценарий заражения начинается с попытки пользователя найти инструкцию к оборудованию или загрузить программу для работы с PDF. В поисковой выдаче появляются рекламные ссылки или подменённые результаты, ведущие на домены, зарегистрированные через NameCheap. После запуска загруженного инсталлятора отображается стандартное пользовательское соглашение, а по завершении процесса — всплывающее окно в браузере с благодарностью.

Параллельно в системе создаётся XML-файл, который настраивает отложенный запуск скрытого JavaScript-компонента. Этот компонент связывается с удалённым сервером и передаёт базовые сведения о системе и сессии в зашифрованном JSON-формате по протоколу HTTPS.

Назначение собранных данных остаётся не полностью ясным. Некоторые варианты инструмента использовались в схемах нечестной рекламы, что указывает на попытку монетизации. Исследователи также допускают, что доступ к заражённым устройствам может перепродаваться или использоваться для сбора чувствительной информации с последующей реализацией на закрытых площадках.

Согласно телеметрии, больше всего заражений выявлено в США. Реже атаки фиксировались в Израиле, Испании, Германии, Индии и Ирландии. Наиболее часто страдают медицинские организации, строительные компании и предприятия промышленного сектора — их сотрудники регулярно загружают инструкции к специализированному оборудованию, что делает их особенно уязвимыми к подобным подделкам.