TamperedChef olarak takip edilen yeni bir küresel bilgisayar korsanlığı kampanyası ortaya çıktı ve kullanıcıları uzaktan erişim araçları sunan kötü amaçlı uygulamaları yüklemeleri için kandırmak amacıyla günlük yazılım adlarından yararlanıyor.
Kampanya, manuel okuyucular, PDF düzenleyiciler ve oyunlar gibi yaygın programlar gibi görünen ve tümü meşru görünmek için geçerli kod imzalama sertifikalarıyla donatılmış sahte yükleyiciler kullanıyor.
Bu uygulamalar, kötü amaçlı reklamcılık ve arama motoru optimizasyon teknikleri aracılığıyla dağıtılır ve bu sayede, çevrimiçi olarak günlük araçları veya ürün kılavuzlarını arayan şüphelenmeyen kullanıcılar tarafından kolayca keşfedilebilir hale gelir.
TamperedChef’in arkasındaki saldırganlar, Genişletilmiş Doğrulama sertifikaları almak için ABD’ye kayıtlı paravan şirketler ağını kullanarak endüstriyel ölçekte bir operasyon kurdu.
Bu tek kullanımlık cepheler, tehdit aktörlerinin sahte uygulamalarını güvenilir sertifikalarla imzalamasına olanak tanır, bu da güvenlik savunmalarını atlamalarına ve kullanıcının güvenini kazanmalarına yardımcı olur.
Bir sertifika işaretlendiğinde veya iptal edildiğinde operatörler, sürekli operasyonları sürdürmek ve kötü amaçlı yazılımlarının meşru görünmesini sağlamak için yeni paravan şirketleri “Dijital Pazarlama” gibi genel adlar altında hızla kaydeder.
Acronis güvenlik araştırmacıları kampanyayı Haziran 2025’te tespit etti, ancak kanıtlar daha erken bir etkinlik olduğunu gösteriyor. Operasyon esas olarak Amerika kıtasındaki mağdurları etkiliyor; yaklaşık yüzde 80’i Amerika Birleşik Devletleri’nde yoğunlaşıyor, ancak küresel altyapı hedeflenen bölgesel odaklanmadan ziyade geniş bir erişime işaret ediyor.
Sağlık, inşaat ve imalat sektörleri enfeksiyon yoğunluğunun en yüksek olduğu sektörlerdir; bunun nedeni muhtemelen bu sektörlerdeki kullanıcıların, TamperedChef’in istismar ettiği davranışlardan biri olan özel ekipman kılavuzlarını sıklıkla çevrimiçi olarak aramasıdır.
.webp)
Kötü amaçlı yazılımın saldırı zinciri, kullanıcıların arama sonuçlarında veya reklamlarda görünen kötü amaçlı web sitelerinden sahte uygulamalar indirmesiyle başlar.
Kurulumdan sonra bu uygulamalar, kalıcılık amacıyla zamanlanmış bir görev oluşturmak için kullanılan bir XML yapılandırma dosyasını bırakır. Bu görev, arka kapı işlevi gören ve HTTPS üzerinden komut ve kontrol sunucularıyla iletişim kuran, oldukça karmaşık bir JavaScript yükünü yürütür.
JavaScript verisi, verileri aktarım için base64 ile kodlamadan önce XOR şifrelemesini kullanarak rastgele 16 baytlık bir anahtarla şifreler.
Enfeksiyon Zinciri ve Kalıcılık Mekanizması
TamperedChef bulaşma süreci, kalıcı erişimi korurken tespitten kaçınmak için tasarlanmış çok aşamalı bir yürütme zincirini takip ediyor.
Kullanıcılar indirilen yükleyiciyi çalıştırdıklarında yasal yazılım kurulumunu taklit eden standart bir lisans sözleşmesi penceresiyle karşılaşırlar.
Yükleme sırasında, kötü amaçlı yazılım, yükleyicinin geçici dizinine veya program yükleme dizinine “task.xml” adlı bir dosya yerleştirir. %APPDATA%\Programs\[Fake Application Name].
.webp)
Bu XML dosyası, şu komutu kullanarak zamanlanmış bir görev oluşturmaya yönelik yapılandırma görevi görür: schtasks /Create /tn "Scheduled Daily Task" /xml "%APPDATA%\Local\Programs\AnyProductManual\task.xml".
Görev, oluşturulduktan hemen sonra yürütülür ve 30 dakikaya kadar rastgele bir gecikmeyle her 24 saatte bir tekrarlanır.
Bu yapılandırma, uzatılmış çalışma sürelerine izin verir, birden fazla eşzamanlı örneği engeller ve kaçırılan programları otomatik olarak çalıştırarak JavaScript yükünün şüphe yaratmadan tutarlı bir şekilde yürütülmesini sağlar.
JavaScript yükünün kendisi, obfuscator.io’daki araçlar kullanılarak, dize ve işlev yeniden adlandırma, kontrol akışı düzleştirme ve ölü kod enjeksiyonu dahil olmak üzere birden fazla teknik uygulanarak büyük ölçüde gizlenir.
Kötü amaçlı yazılım yürütüldükten sonra, rastgele etki alanı tarafından oluşturulan dizelerden, normal ağ trafiğine uyum sağlamak üzere daha tanınabilir alan adlarına dönüşen sabit kodlu komut ve kontrol sunucularıyla iletişim kurar.
Veri, parmak izi aygıtlarına bir makine kimliği oluşturur ve sistem keşfi için kayıt defteri işlemlerini gerçekleştirir.
Kötü amaçlı yazılım, olay adlarını, oturum kimliklerini, makine kimliklerini ve meta verileri içeren şifrelenmiş JSON nesnelerini C2 sunucusuna gönderir. Ayrıca, saldırganların ele geçirilen sistemlerde komut çalıştırmasına olanak tanıyan uzaktan kod yürütme yeteneklerine de sahiptir.
Kampanyanın altyapısı, bir yıllık kayıt dönemleri olan alan adı kaydı için NameCheap’e ve sahipliği gizlemek için alan adı gizliliği korumasına dayanıyor ve bu da, yayından kaldırmaların ardından hızlı altyapı yeniden inşasına olanak tanıyor.
Son keşifler, operasyonun, hepsi aynı saldırı modellerini izleyen Stratus Core Digital LLC, DataX Engine LLC ve Nova Sphere Systems LLC gibi yeni paravan şirket imzacılarıyla genişlemeye devam ettiğini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
