TamperedChef-Malware nutzt signierte Produktivitäts-Apps, um Stealer- und RAT-Software zu verteilen

Sie verbleiben stumm auf einem Gerät für Wochen oder sogar Monate, bevor sie bösartige Aktivitäten auslösen, was ihre Erkennung durch herkömmliche Sicherheitstools erschwert. Analysten von Unit42 haben drei distincte Cluster dieser Aktivitäten identifiziert und verfolgt, die als CL-CRI-1089, CL-UNK-1090 und CL-UNK-1110 bezeichnet werden.

Laut dem (CSN) geteilten Bericht von Unit42 haben Forscher über 4.000 eindeutige Proben und mehr als 100 eindeutige Varianten in diesen Kampagnen identifiziert, wobei Infektionen in mehr als 50 % der überwachten Unternehmensumgebungen weltweit auftraten. Was TamperedChef so gefährlich macht, ist, wie überzeugend es echte Software nachahmt.

Die Download-Seiten sind professionell gestaltet, enthalten rechtliche Hinweise, Kontaktseiten und Ein-Klick-Download-Buttons auf vertrauenswürdigen, legitimer wirkenden Domains. TamperedChef-Malware nutzt signierte Produktivitäts-Apps. Die Apps erfüllen ihre Versprechen und lassen die Opfer kaum einen Grund, sich zu fragen, was sie gerade installiert haben.

Technik und Auswirkungen

Das Ausmaß dieser Operation deutet auf eine gut finanzierte und hochorganisierte Anstrengung hin. Forscher schätzen, dass die Betreiber hinter nur einem Cluster allein über 10.000 US-Dollar für Code-Signing-Zertifikate ausgegeben haben, digitale Stempel, die Software vertrauenswürdig erscheinen lassen.

Dieses Investitionsvolumen signalisiert eine langfristige, gewinnorientierte Kampagne, die weit über das hinausgeht, was typische Adware-Betriebe wagen würden. Eine der definierenden Taktiken, legitime Code-Signing-Zertifikate einzusetzen, um seine Payloads als sicher erscheinen zu lassen.

Diese Zertifikate werden an verifizierte Unternehmen vergeben, und die meisten Sicherheitstools betrachten signierte Software als vertrauenswürdig. Bedrohungsakteure nutzten dies aus, indem sie Netzwerke, Malaysia, Israel, dem Vereinigten Königreich und den USA aufbauten, um gültige Zertifikate zu erlangen.

Was die Studie zeigt

Forscher verfolgten den CL-CRI-1089-Cluster auf 34 eindeutige Code-Signing-Entitäten zurück, die durch gemeinsame Zertifikatnutzung, überlappenden Code und Analysen der Unternehmensstruktur miteinander verbunden waren.

Die Calendaromatic-Kampagne setzte ein sich selbst entpackendes Archiv ein, das eine funktionale Kalender-App enthielt, die mit einem versteckten Remote-Access-Trojaner (RAT) kombiniert war. Sobald aktiv, kontaktierte dieser RAT einen Command-and-Control-Server und zog eine zweite Stufen-Payload herunter, um das Opfer weiter zu kompromittieren.

Das CL-UNK-1090-Cluster verfolgte einen integrierten Ansatz, bei dem dieselbe Gruppe sowohl die Werbeagenturen als auch die Unternehmen für die Malware-Signierung kontrollierte. Über Plattformen zur Werbeeintransparenz wurden mehr als 20.000 eindeutige Anzeigen diesem Cluster zugeordnet, darunter Kampagnen wie CrystalPDF, OneZip und Easy2Convert.

Technik und Auswirkungen

Die Betreiber nutzten Generative KI, um Verteilungswebsites im großen Maßstab zu erstellen und dabei Seiten zu generieren, die oberflächlich ähnlich aussahen, aber strukturell unterschiedlichen zugrundeliegenden Code aufwiesen.

Stealer, RATs und Was nach der Infektion passiert: Sobald eine TamperedChef-App aktiviert wird, liefert sie je nach Kampagne eine erste Kategorie umfasst Adware und Browser-Hijacker, die Suchanfragen umleiten und die Kontrolle über das Surfverhalten übernehmen.

Die zweite, schwerwiegendere Kategorie ist der Einsatz, die gespeicherte Zugangsdaten abgreifen und Angreifern ermöglichen, Befehle aus der Ferne auszuführen. Zweitstufige Payloads erreichen in der Regel Wochen nach der Installation über eine upstream-API-Verbindung, lange nachdem erste Verdachtsmomente verblasst sind.

Sicherheitslage und Risiko

In einigen Kampagnen, wie beispielsweise AppSuite, stellten Forscher auch Proxy-artige Malware fest, die den Datenverkehr über Opferrechner leitet. Der Cluster CL-CRI-1089 zeigte das aggressivste Verhalten beim Diebstahl, während CL-UNK-1090 eher diskretere Payloads im Arbeitsspeicher einsetzte, die weniger Spuren auf der Festplatte hinterlassen.

Um dieser Bedrohung zu begegnen, sollten Sicherheitsteams sicherstellen, dass Endpunkterkennungstools auf allen Geräten vollständig aktualisiert sind, und über Enterprise-Browser nachdenken, die bösartige Downloads bereits bevor sie bei den Nutzern ankommen, blockieren.

Die Schulung Software-Risiken ist ebenso kritisch, selbst wenn Download-Portale vollständig professionell wirken.

Technischer Hintergrund

Falls eine Infektion entdeckt wird, sollten die Teams die betroffenen Dateien in Quarantäne nehmen, Persistenzmechanismen wie geplante Aufgaben entfernen, Zugangsdaten für die betroffenen Konten zurücksetzen und die Zugriffsprotokolle überprüfen, um festzustellen, ob gestohlene Zugangsdaten bereits missbraucht wurden.

Indikatoren für Kompromittierungen (IoCs): SHA256-Hash: Indikator: 248de1470771904462c91f146074e49b3d7416844ec143ade53f4ac0487fdb4; Beschreibung: RapiDoc-Binärdatei, die den PDB-Pfad enthält, und mit CANDY TECH LTD (CL-UNK-1090) verknüpft.

SHA256-Hash: Indikator: 42231bfa7c7bd4a8ff12568074f83de8e4ec95c226230cccc6616a1a4416de268; Beschreibung: RapiDoc-Binärdatei, die den PDB-Pfad enthält, und mit CANDY TECH LTD (CL-UNK-1090) verknüpft.

Technischer Hintergrund

PDB-Pfad: Indikator: D:!Work\Clients\ \Projects\RapiDoc\SrcForTests\RapiDoc\x64\Release\RapiDoc\RapiDoc.pdb; Beschreibung: Pfad zur Programmdatenbank, der in RapiDoc-Binärdateien gefunden wurde und wahrscheinlich versehentlich während des Builds hinterlassen wurde.

Domain: Indikator: onezipapp[.]com; Beschreibung: Verteilungsseite für das OneZip-Malware, signiert (CL-UNK-1090). Bereich: Indikator: crystalpdf[.]com; Beschreibung: Verteilungsplattform für CrystalPDF, genutzt vom CL-UNK-1090-Cluster.

Bereichsmuster: Indikator: pixel.toolname[.]com; Beschreibung: C2-Domain-Muster, das (PDFPrime/ManualzPDF-Kampagnen, CL-CRI-1089) verwendet wird. Code-Zertifizierer: Indikator: CROWN SKY LLC; Beschreibung: Code-Zertifizierungsstelle, die in der Calendaromatic-Kampagne (CL-CRI-1089) eingesetzt wird.

Code-Zertifizierer: Indikator: MARKET FUSION INNOVATIONS LLC;

Code-Zertifizierer: Indikator: MARKET FUSION INNOVATIONS LLC; Beschreibung: Code-Zertifizierungsstelle, die mit der Calendaromatic-Kampagne (CL-CRI-1089) verknüpft ist. Code-Zertifizierer: Indikator: CANDY TECH LTD; Beschreibung: Zentrale Zertifizierungs- und Werbeeinheit für den CL-UNK-1090-Cluster.

Code-Zertifizierer: Indikator: TAU CENTAURI LTD; Beschreibung: Zertifizierungsstelle, die mit der OneZip-Kampagne (CL-UNK-1090) verknüpft ist. Code-Zertifizierer: Indikator: B.L.A ASPIRE LTD; Beschreibung: Zertifizierungsstelle für JustConvertFiles-Binaries (CL-UNK-1090).

Code Signer: Indikator: PASTEL CONCEPTION LTD; Beschreibung: Zertifizierungsstelle für JustConvertFiles; verknüpft mit PDFPilot, SwiftNav, ShinyPDF und FileEase. Code Signer: Indikator: BUZZ BOOST ADVERTISERS LLC; Beschreibung: Zertifizierungsstelle, die mit der PixelCheck-Variante (CL-CRI-1089) verknüpft ist.

Code Signer: Indikator: ADSMARKETO LLC; Beschreibung:

Code Signer: Indikator: ADSMARKETO LLC; Beschreibung: Zertifizierungsstelle, die mit der PixelCheck-Variante (CL-CRI-1089) verknüpft ist. Code Signer: Indikator: ADVANTAGE WEB MARKETING LLC; Beschreibung: Zertifizierungsstelle, die mit der PixelCheck-Variante (CL-CRI-1089) verknüpft ist.

Code Signer: Indikator: Europae-Solutio Ltd; Beschreibung: Zertifizierungsstelle, die mit der PixelCheck-Variante (CL-CRI-1089) verknüpft ist. Code Signer: Indikator: SP Development and Solution Limited; Beschreibung: Zertifizierungsstelle, die mit der PixelCheck-Variante (CL-CRI-1089) verknüpft ist.

Code Signer: Indikator: LLC MATCH-TWO-USERS; Beschreibung: Zertifizierungsstelle, die mit der PixelCheck-Variante (CL-CRI-1089) verknüpft ist. Code Signer: Indikator: Monetize forward LLC; Beschreibung: Zertifikatsinhaber, der mit einer PixelCheck-Variante (CL-CRI-1089) verknüpft ist.

Sicherheitslage und Risiko

Malware-Sample: Indikator: calendaromatic-win_x64.exe; Beschreibung: Erststufen-Binärdatei aus der Calendaromatic-Kampagne (CL-CRI-1089). Malware-Sample: Indikator: resources.neu; Beschreibung: Obfuskierte NeutralinoJS-Ressourcendatei, die C2-Logik enthält, im Rahmen der Calendaromatic-Kampagne.

Dateiname: Indikator: RapiDoc.pdb; Beschreibung: Debugsymboldatei, die in RapiDoc-Binärdateien gefunden wurde (CL-UNK-1090). Kampagnenname: Indikator: AppSuite PDF; Beschreibung: Böswilliger PDF-Editor, der TamperedChef-Malware verbreitet; wurde beobachtet, wie er proxyartige Payloads bereitstellt.

Kampagnenname: Indikator: Calendaromatic; Beschreibung: Trojaner in Form einer Kalender-App; frühest nachverfolgte Aktivität der Kampagne CL-CRI-1089 (Spät 2023). Kampagnenname: Indikator: CrystalPDF; Beschreibung: Böswilliges PDF-Tool, das 1090 verteilt wird; gehostet unter crystalpdf[.]com.

Kampagnenname: Indikator: JustAskJacky; Beschreibung: App, die

Kampagnenname: Indikator: JustAskJacky; Beschreibung: App, die vom CL-UNK-1110-Cluster bereitgestellt wird. Kampagnenname: Indikator: OneZip; Beschreibung: Bösartiges ZIP-Tool, das wurde und über onezipapp[.]com verbreitet wird.

Kampagnenname: Indikator: PDFPrime ManualzPDF; Beschreibung: Frühe CL-CRI-1089-Kampagnen, die Code und C2-Muster (Variante PixelCheck). Kampagnenname: Indikator: ZipMakerPro; Beschreibung: App im Stil, die mit CANDY TECH LTD (CL-UNK-1090) verknüpft ist.

Kampagnenname: Indikator: GifsMakerPro; Beschreibung: App im Stil, die mit CANDY TECH LTD (CL-UNK-1090) verknüpft ist. Kampagnenname: Indikator: ScreensRecorder; Beschreibung: App im Stil, die mit CANDY TECH LTD (CL-UNK-1090) verknüpft ist.

Technischer Hintergrund

Kampagnenname: Indikator: RapiDoc; Beschreibung: App mit dem Copyright, die einen geleakten PDB-Pfad enthält (CL-UNK-1090). Kampagnenname: Indikator: JustConvertFiles; Beschreibung: Bösartiges Dateikonvertierungs-Tool, das (CL-UNK-1090) verbreitet wird.

Kampagnenname: Indikator: PDFPilot; Beschreibung: Kampagne, die mit B.L.A ASPIRE LTD und PASTEL CONCEPTION LTD (CL-UNK-1090) verknüpft ist. Kampagnenname: Indikator: SwiftNav; Beschreibung: Kampagne, die mit B.L.A ASPIRE LTD und PASTEL CONCEPTION LTD (CL-UNK-1090) verknüpft ist.

Kampagnenname: Indikator: ShinyPDF; Beschreibung: Kampagne, die mit B.L.A ASPIRE LTD und PASTEL CONCEPTION LTD (CL-UNK-1090) verknüpft ist. Kampagnenname: Indikator: FileEase; Beschreibung: Kampagne, die mit B.L.A ASPIRE LTD und PASTEL CONCEPTION LTD (CL-UNK-109) verknüpft ist. Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z.

Technik und Auswirkungen

B. [.] ), um eine unbeabsichtigte Auflösung oder Verlinkung zu verhindern. Defang nur in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM wiederherstellen. Tushar ist ein Senior-Experte für Cybersicherheit und Breach-Berichterstattung.

Er spezialisiert sich auf Cybersicherheitsnachrichten, Trends und neu auftretende Bedrohungen, Datenpannen sowie Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen. Behörden haben „First VPN", das in Ransomware-Angriffen eingesetzt wurde, abgeschaltet.

Flipper stellt das neue Flipper One, ein modulares Linux-Cyberdeck, vor. Interne GitHub-Repositorien wurden über eine bewaffnete VS Code-Erweiterung kompromittiert.