«Gracias por el acceso»: el virus TamperedChef se hace pasar por un lector de PDF y agradece a la víctima tras infectarla
Mientras en la pantalla aparece un mensaje inocente, un script oculto conecta el dispositivo a una red clandestina.
La amplia campaña TamperedChef vuelve a atraer la atención de los expertos, ya que los atacantes siguen distribuyendo malware mediante instaladores falsos de aplicaciones populares. Este esquema de camuflaje con software familiar ayuda a engañar a los usuarios y a obtener acceso persistente a los dispositivos. El equipo de Acronis señala que la actividad persiste: se detectan nuevos archivos y la infraestructura asociada continúa operativa.
El método se basa en la ingeniería social. Se utilizan nombres de utilidades habituales, anuncios con redirecciones suplantadas, optimización para motores de búsqueda y certificados digitales falsos. Los investigadores Darrel Virtusio y Jozsef Gegenyi explican que estos elementos aumentan la confianza en los instaladores y ayudan a eludir los mecanismos de defensa.
La campaña recibió el nombre TamperedChef porque sus instaladores falsos actúan como vectores del malware homónimo. Esta actividad se considera parte de una amplia serie de operaciones llamadas EvilAI, en las que se emplean cebos relacionados con herramientas basadas en inteligencia artificial.
Para dar verosimilitud a las aplicaciones falsas, el grupo operador usa certificados emitidos a nombre de empresas ficticias de Estados Unidos, Panamá y Malasia. Cuando los certificados antiguos son revocados, aparecen otros nuevos bajo un nombre de empresa distinto. Acronis señala que esa infraestructura recuerda a un proceso de producción organizado que permite generar continuamente claves nuevas y ocultar el código malicioso dentro de compilaciones firmadas.
Al mismo tiempo, es importante tener en cuenta que bajo el nombre TamperedChef distintas empresas han registrado no exactamente la misma amenaza: algunos equipos de investigación emplean la denominación BaoLoader, y el archivo malicioso originario con ese nombre fue integrado en una aplicación falsa de recetas en el marco de EvilAI.
El escenario típico de infección comienza cuando el usuario busca instrucciones para equipos o utilidades para trabajar con PDF. En los resultados aparecen enlaces patrocinados o resultados manipulados que conducen a dominios de los atacantes registrados a través de NameCheap. Tras descargar y ejecutar el instalador, se muestra al usuario el acuerdo estándar y, al finalizar, se presenta un mensaje de agradecimiento en una nueva ventana del navegador.
En ese momento se crea en la máquina un archivo XML que inyecta en el sistema el arranque diferido de un componente JavaScript oculto. Ese módulo se conecta a un nodo externo y envía identificadores básicos del dispositivo y de la sesión en forma de un paquete JSON cifrado y codificado por HTTPS.
Los objetivos de los operadores no están del todo claros. Algunas versiones de la herramienta maliciosa participaron en esquemas de publicidad deshonesta, lo que indica un intento de obtener ganancias directas. Además, es posible que el acceso se venda a otras bandas criminales o que se utilice para recopilar datos confidenciales que luego se revenden en mercados ilícitos.
Según la telemetría, la mayor cantidad de infecciones se registró en Estados Unidos. En menor medida, los ataques afectaron a Israel, España, Alemania, India e Irlanda. Con mayor frecuencia sufren organizaciones de los sectores de salud, construcción e industria manufacturera; los especialistas explican que los empleados de esas empresas buscan con regularidad en la red instrucciones para equipos especializados, lo que los hace vulnerables a este tipo de trampas.
Las huellas digitales son tu debilidad, y los hackers lo saben