Tamperedchefは、インフォスティーラー型マルウェアです。
ここのところこのマルウェアが大規模に展開されていることが確認されています。
展開の様子は次のようなものです。
- 無料ツールの配布サイトを設置する
脅威アクターは人気の無料ツールの偽物を配布サイトに設置します。
偽無料ツールの配布は単一のウェブサイトではなく、複数のURLで行われています。
そして配布されている偽物は複数の異なる証明書で署名されたアプリケーションとして配布されています。
この活動のマルウェアとして、4つ以上の証明書が使われていることがわかっています。 - 最初は静かなものだった
設置当初の偽物無料ツールは、そもそもの無料ツールと同等の動作しかしていませんでした。
確認されている範囲では、偽ツールが公開された当初から考えると3か月以上はこの状態だったように想定されます。 - アップデートで有害動作有効化
偽の無料ツールには更新機能が実装されていました。
実行時引数に「-fullupdate」をつけた状態で実行すると更新機能が動作します。
2025年8月21日以降にこの更新機能が動作した環境では、有害動作を実施するバージョンに更新されます。 - 環境チェックから情報収集
悪意のある動作を開始する前に、マルウェアは環境のチェックを実施します。
対象機器にセキュリティ製品が動作しているか、インストールされているWebブラウザがなにかを確認します。
そして存在することが確認できたWebブラウザの使用するデータベースの内容を閲覧し、そこに保存されている認証情報などを取得します。
最初は無害動作で途中から有害動作となるという段取りで展開されたのですが、これは綿密に計算された活動だったようです。
偽物の公開から比較的短い時期に、マルウェアバージョンの無料ツールの宣伝がGoogle広告で実施されました。
Google広告は広告開始から通常60日間実施されます。
この広告の有効期間が切れる手前のタイミングで有害動作を行うバージョンへの更新が行われたのです。
これは単なる偶然とは思えません。
無害状態のマルウェア報告される危険の少ないバージョンをなるべく多数配布し、そのあとの悪意ある活動の効果を最大化することを狙った活動に思えます。
有害動作を行っていないから安全なツールであると考えるのは早計なのかもしれません。
機が熟したら悪意ある動作を介するのかもしれません。
入手経路の注意、改めて認識することが必要ですね。
Tamperedchef – The Bad PDF Editor
https://www.truesec.com/hub/blog/tamperedchef-the-bad-pdf-editor
| この記事をシェア |
|
|---|
