Admin
Администратор
Palo Alto Networks раскрыла масштабную сеть вредоносных программ TamperedChef, которые маскируются под безобидные PDF-редакторы и архиваторы.
Эти программы не только крадут данные, но и устанавливают дополнительное вредоносное ПО, оставаясь незамеченными неделями.
Специалисты изучили более 4 тысяч образцов вредоносных файлов и свыше сотни вариантов программ, выдававших себя за легитимное ПО. Среди популярных приманок фигурировали Calendaromatic, CrystalPDF, AppSuite PDF, RocketPDFPro и OneZip. Программы распространялись через рекламные объявления в поисковых системах и на сайтах, где пользователям обещали бесплатные инструменты для работы с документами, изображениями или архивами. После установки программа могла неделями не проявлять подозрительной активности, продолжая работать как обычное приложение. Позже вредоносный модуль связывался с управляющим сервером и загружал дополнительный код. В ряде случаев злоумышленники устанавливали стилеры для кражи паролей, RAT-инструменты или инструменты для подмены браузерных настроек. Авторы исследования выделили три крупных кластера активности, которые отслеживаются под названиями CL-CRI-1089, CL-UNK-1090 и CL-UNK-1110. Каждый кластер использовал собственную инфраструктуру, но методы работы оказались очень похожими. Для повышения доверия к программам операторы массово применяли действительные сертификаты цифровой подписи. Аналитики насчитали не менее 81 организации, чьи сертификаты использовались для подписи вредоносных файлов. Отдельное внимание Palo Alto Networks уделила рекламной инфраструктуре. Операторы вредоносных кампаний не только создавали программы, но и сами продвигали их через рекламные сети. В отчёте упоминается израильская компания CANDY TECH LTD, связанная с тысячами рекламных объявлений для распространения поддельных утилит. Через подобные объявления пользователи попадали на профессионально оформленные сайты с кнопками загрузки и юридическими соглашениями, создававшими иллюзию легального продукта. По данным компании, атаки затронули организации и частных пользователей по всему миру без явной географической привязки. В Palo Alto Networks считают, что популярность подобных схем продолжит расти, а злоумышленники будут всё активнее использовать рекламные платформы и генеративный ИИ для создания новых вредоносных кампаний.
