TamperedChef マルウェア

脅威アクターは、広く使用されているアプリケーションを装った偽のインストーラーを悪用し、「TamperedChef」と呼ばれる世界的なマルバタイジングキャンペーンを展開しています。これらの偽造プログラムをダウンロードしたユーザーは、システムに永続性を確立し、リモートアクセスと制御のためのJavaScriptバックドアを展開するように設計されたマルウェアを意図せずインストールしてしまいます。本稿執筆時点では、このキャンペーンは依然として活発で、新たな悪意のあるアーティファクトが検出され、関連するインフラストラクチャも依然として稼働しています。

ソーシャルエンジニアリングと信頼の悪用

TamperedChefの背後にいる攻撃者は、ソーシャルエンジニアリングの手法を駆使してユーザーの信頼を最大限に高め、検出を回避します。その手法には以下のようなものがあります。

• 馴染みのあるアプリケーション名を使ってダウンロードを促す
• オンライン広告を通じてユーザーにリーチするためのマルバタイジングキャンペーンを展開する
• 検索結果に表示されるための検索エンジン最適化（SEO）戦略の採用
• 悪用されたデジタル証明書でマルウェアに署名し、正当性を装う

証明書は、米国、パナマ、マレーシアに登録されたダミー会社に発行されることがよくあります。古い証明書が失効すると、攻撃者は異なる会社名で新しい証明書を継続的に取得し、正当性を装います。情報セキュリティの専門家は、このインフラストラクチャが高度に組織化されており、信頼できるように見えるインストーラーを継続的に作成できると説明しています。

マルウェアファミリーとキャンペーンのコンテキスト

TamperedChefは、コードネーム「EvilAI」と呼ばれる大規模なキャンペーンの一部であり、人工知能（AI）ツールやソフトウェアを悪用したルアーを用いてマルウェアを拡散します。TamperedChef自体はこのマルウェアファミリーの名称として広く知られていますが、一部のレポートではBaoLoaderとしても追跡されています。TamperedChefという名称は、悪意のあるレシピアプリに埋め込まれた元のTamperedChefマルウェアとは異なりますが、サイバーセキュリティ関連の出版物やベンダーによる検出における一貫性を保つために役立っています。

攻撃の展開

典型的な攻撃シナリオは次のとおりです。

• 検索エンジンで PDF エディターや製品マニュアルを検索するユーザーには、不正な URL や悪意のある広告が表示されます。
• これらのリンクをクリックすると、ユーザーは多くの場合 NameCheap 経由で登録された罠のかかったドメインにリダイレクトされ、偽のインストーラーをダウンロードするように促されます。
• インストーラーは、ユーザーに標準のライセンス条項に同意するように求め、その後、新しいブラウザ タブでサンキュー ページを開いて、その策略を維持します。

このキャンペーンの最終目的は依然として不明です。マルウェアの亜種の中には、広告詐欺を促進するものもあれば、サイバー犯罪者へのアクセス権の販売や、アンダーグラウンドフォーラム向けの機密データの収集を通じて収益を得るものもあると考えられます。

地理的およびセクターへの影響

テレメトリによると、米国のユーザーへの影響が最も大きく、イスラエル、スペイン、ドイツ、インド、アイルランドでも感染が報告されています。最も影響を受けている業種は医療、建設、製造業で、これは攻撃者が悪用する特殊な機器の使用や製品マニュアルのオンライン検索が頻繁に行われるためと考えられます。