Surgiu uma nova campanha global de hackers chamada TamperedChef, explorando nomes de software comuns para induzir os usuários a instalar aplicativos maliciosos que fornecem ferramentas de acesso remoto.
A campanha usa instaladores falsos disfarçados de programas comuns, como leitores manuais, editores de PDF e jogos, todos equipados com certificados de assinatura de código válidos para parecerem legítimos.
Esses aplicativos são distribuídos por meio de malvertising e técnicas de otimização de mecanismos de pesquisa, tornando-os facilmente detectáveis por usuários desavisados que procuram ferramentas cotidianas ou manuais de produtos on-line.
Os invasores por trás do TamperedChef construíram uma operação em escala industrial usando uma rede de empresas de fachada registradas nos EUA para adquirir certificados de validação estendida.
Essas frentes descartáveis permitem que os agentes da ameaça assinem seus aplicativos falsos com certificados confiáveis, o que os ajuda a contornar as defesas de segurança e ganhar a confiança do usuário.
Depois que um certificado é sinalizado ou revogado, as operadoras registram rapidamente novas empresas de fachada sob nomes genéricos como “Marketing Digital” para manter operações contínuas e fazer com que seu software malicioso pareça legítimo.
Os pesquisadores de segurança da Acronis identificaram a campanha em junho de 2025, embora as evidências sugiram atividade anterior. A operação afecta principalmente vítimas nas Américas, com cerca de 80 por cento concentradas nos Estados Unidos, embora a infra-estrutura global indique um amplo alcance em vez de um enfoque regional direccionado.
Os setores de saúde, construção e manufatura apresentam a maior concentração de infecções, provavelmente porque os usuários dessas indústrias pesquisam frequentemente online manuais de equipamentos especializados, um dos comportamentos explorados pelo TamperedChef.
Resultados de pesquisa do Bing que levam a um site de download controlado pelo TamperedChef (Fonte – Acronis)
A cadeia de ataque do malware começa quando os usuários baixam aplicativos falsos de sites maliciosos que aparecem em resultados de pesquisa ou anúncios.
Após a instalação, esses aplicativos descartam um arquivo de configuração XML usado para criar uma tarefa agendada para persistência. Esta tarefa executa uma carga JavaScript altamente ofuscada que funciona como um backdoor, estabelecendo comunicação com servidores de comando e controle por HTTPS.
A carga JavaScript criptografa dados usando criptografia XOR com uma chave aleatória de 16 bytes antes de codificá-los com base64 para transmissão.
Cadeia de infecção e mecanismo de persistência
O processo de infecção do TamperedChef segue uma cadeia de execução de vários estágios projetada para evitar a detecção enquanto mantém o acesso persistente.
Quando os usuários executam o instalador baixado, eles encontram uma janela de contrato de licença padrão que imita a instalação de software legítimo.
Durante a instalação, o malware coloca um arquivo chamado “task.xml” no diretório temporário do instalador ou no diretório de instalação do programa em %APPDATA%\Programs\(Nome falso do aplicativo).
Cadeia de execução (Fonte – Acronis)
Este arquivo XML serve como configuração para a criação de uma tarefa agendada usando o comando: schtasks /Create /tn “Tarefa diária agendada” /xml “%APPDATA%\Local\Programs\AnyProductManual\task.xml”.
A tarefa é executada imediatamente após a criação e repete-se a cada 24 horas com um atraso aleatório de até 30 minutos.
Essa configuração permite tempos de execução estendidos, bloqueia várias instâncias simultâneas e executa automaticamente quaisquer agendamentos perdidos, garantindo que a carga JavaScript seja executada de forma consistente sem levantar suspeitas.
A carga útil do JavaScript em si é fortemente ofuscada usando ferramentas do obfuscator.io, aplicando várias técnicas, incluindo renomeação de strings e funções, nivelamento de fluxo de controle e injeção de código morto.
Uma vez executado, o malware estabelece comunicação com servidores de comando e controle codificados que evoluíram de cadeias aleatórias geradas por domínio para nomes de domínio mais reconhecíveis para se misturar ao tráfego normal da rede.
A carga gera uma ID de máquina para dispositivos de impressão digital e executa operações de registro para reconhecimento do sistema.
O malware envia objetos JSON criptografados contendo nomes de eventos, IDs de sessão, IDs de máquinas e metadados para o servidor C2. Ele também possui recursos de execução remota de código, permitindo que invasores executem comandos em sistemas comprometidos.
A infraestrutura da campanha depende do NameCheap para registro de domínio com períodos de registro de um ano e proteção de privacidade de domínio para ocultar a propriedade, permitindo a rápida reconstrução da infraestrutura após remoções.
Descobertas recentes mostram que a operação continua se expandindo com novos assinantes de empresas de fachada, incluindo Stratus Core Digital LLC, DataX Engine LLC e Nova Sphere Systems LLC, todos seguindo padrões de ataque idênticos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
