تم تسليم TarmperedChef Infostealer من خلال محرر PDF الاحتيالي

تستخدم ممثلو التهديدات مواقع ويب متعددة تمت ترقيتها من خلال إعلانات Google لتوزيع تطبيق مقنع لتحرير PDF يوفر برامج ضارة لسرقة المعلومات تسمى TarmperedChef.

تعد الحملة جزءًا من عملية أكبر مع تطبيقات متعددة يمكنها تنزيل بعضها البعض ، بعضها يخدع المستخدمين في تسجيل نظامهم في وكلاء سكني.

تم التعرف على أكثر من 50 مجالًا لتطبيقات الخداع المضيفة الموقعة بشهادات احتيالية صادرة عن أربع شركات مختلفة على الأقل.

يقول الباحثون إن الحملة تبدو واسعة الانتشار ومثابة بشكل جيد حيث انتظر المشغلون الإعلانات لتشغيل مسارها قبل تنشيط المكونات الضارة في التطبيقات.

التحديث الكامل يسلم Infostealer

يصف التحليل الفني من شركة خدمات الأمن السيبراني Truesec عملية TarmperedChef Infostealer التي يتم تسليمها إلى نظام المستخدم.

اكتشف الباحثون أنه تم تسليم البرامج الضارة من خلال مواقع ويب متعددة عززت أداة مجانية تسمى AppSuite PDF Editor.

بناءً على سجلات الإنترنت ، قرر المحققون أن الحملة بدأت في 26 يونيو ، عندما تم تسجيل العديد من المواقع الإلكترونية المعنية أو بدأت في الإعلان عن محرر PDF AppSuite.

ومع ذلك ، وجد الباحثون أنه تم التحقق من التطبيق الضار من خلال”https://www.virustotal.com/gui/file/cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c” الهدف=”_blank” rel=”nofollow noopener”> virustotal خدمات مسح البرامج الضارة في 15 مايو.

يبدو أن البرنامج يتصرف بشكل طبيعي حتى 21 أغسطس ، عندما تلقى تحديثًا تم تنشيط القدرات الضارة التي تم تصميمها لجمع بيانات حساسة مثل بيانات الاعتماد وملفات تعريف الارتباط على الويب.

وفقًا لـ Truesec ، يتم تسليم TarupedChef Infostealer مع حجة “-fullupdate” لمحرر PDF القابل للتنفيذ.

تقوم البرامج الضارة بفحص مختلف وكلاء الأمان على المضيف. كما يتساءل عن قواعد بيانات متصفحات الويب المثبتة باستخدام واجهة برمجة تطبيقات حماية البيانات) – مكون في Windows يقوم بتشفير البيانات الحساسة.

عند الحفر بشكل أعمق بالنسبة لطريقة التوزيع ، وجد باحثو Truesec أدلة تشير إلى أن ممثل التهديد الذي ينشر TarmperedChef داخل Appsuites PDF يعتمد على إعلانات Google للترويج للبرنامج الضار.

“لاحظت Truesec ما لا يقل عن 5 معرفات مختلفة من حملة Google والتي تقترح حملة واسعة النطاق” – Truesec

من المحتمل أن يكون لدى ممثل التهديد استراتيجية لزيادة عدد التنزيلات قبل تنشيط المكون الضار في محرر Appsuites PDF ، حيث قاموا بتسليم Infostealer قبل أربعة أيام فقط من فترة انتهاء الصلاحية النموذجية البالغة 60 يومًا لحملة إعلانية Google.

بالنظر إلى أبعد من ذلك في محرر PDF Appsuites ، وجد الباحثون أن الإصدارات المختلفة من البرنامج قد تم توقيعها بواسطة الشهادات “من أربع شركات على الأقل” ، من بينها Echo Infini Sdn Bhd ، Glint by J Sdn. Bhd ، و Summit Nexus Holdings LLC ، Bhd.

الانضمام إلى وكيل سكني

وجد Truesec أن مشغل هذه الحملة كان نشطًا منذ أغسطس 2024 على الأقل وعزز أدوات أخرى ، بما في ذلك متصفحات OneStart و Apibrowser.

تجدر الإشارة إلى أن Onestart عادة ما يتم وضع علامة على أنه أ”https://www.malwarebytes.com/blog/detections/pup-optional-onestart” الهدف=”_blank” rel=”nofollow noopener”> برنامج يحتمل أن يكون غير مرغوب فيه (PUP) ، وهو عادة مصطلح ADWARE.

ومع ذلك ، قام الباحثون في شركة الكشف والاستجابة المدارة أيضًا بالتحقيق في الحوادث التي تتضمن Appsuites PDF ، ManualFinder ، و OneStart ، وكلها “إسقاط الملفات المشبوهة للغاية ، وتنفيذ أوامر غير متوقعة ، وتحويل المضيفين إلى وكلاء سكني” ، وهو أقرب إلى السلوك الذي يشبه البرامج الضارة.

ووجدوا أنه يمكن لـ OneStart تنزيل AppSuite-PDF (موقّعة بواسطة شهادة Echo Infini Sdn. Bhd) ، والتي يمكن أن تجلب محرر PDF.

“يتم توزيع التنزيلات الأولية لـ OneStart و Appsuite-PDF ومحرر PDF من خلال إعلانات إعلانية كبيرة الإعلانات PDF ومحرري PDF. هذه الإعلانات توجه المستخدمين إلى أحد مواقع الويب العديدة التي تقدم تنزيلات AppSuite-PDF ، محرر PDF ، و OneStart ،” ، “،””https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/” الهدف=”_blank” rel=”nofollow noopener”> طرد.

تم بالفعل إلغاء شهادات توقيع الكود المستخدمة في هذه الحملة ، لكن المخاطر لا تزال موجودة للتركيبات الحالية.

في بعض حالات محرر PDF ، سيُظهر التطبيق للمستخدمين رسالة تطلب الإذن لاستخدام أجهزتهم كبديل سكني مقابل استخدام الأداة مجانًا.

يلاحظ الباحثون أن مزود شبكة الوكيل قد يكون كيانًا شرعيًا لا يشارك في الحملة وأن مشغل محرر PDF يستفيد من الشركات التابعة.

يبدو أن من يقف وراء محرر PDF يحاول زيادة أرباحهم على حساب المستخدمين في جميع أنحاء العالم.

حتى إذا كانت البرامج في هذه الحملة تعتبر الجراء ، فإن قدراتها نموذجية للبرامج الضارة ويجب معاملتها على هذا النحو.

يحذر الباحثون من أن العملية التي اكتشفوها تتضمن المزيد من التطبيقات ، بعضها لم يتم تسليحه بعد ، أو قادر على توزيع البرامج الضارة أو الملفات المشبوهة ، أو تنفيذ الأوامر بشكل خفي على النظام.

كلا التقريرين من Truesec وطرد[[ 1و”https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/” الهدف=”_blank” rel=”nofollow noopener”> 2]قم بتضمين مجموعة كبيرة من مؤشرات التسوية (IOCs) التي يمكن أن تساعد المدافعين على حماية المستخدمين والأصول من الإصابة.