«Спасибо за доступ». Вирус TamperedChef маскируется под PDF-читалку и благодарит жертву после заражения 19:20 / 21 ноября, 2025 TamperedChef Acronis EvilAI вредоносная кампания поддельные установщики сертификаты заражение Пока на экране висит безобидное сообщение, скрытый скрипт незаметно подключает устройство к теневой сети. Масштабная кампания TamperedChef вновь привлекает внимание специалистов, поскольку злоумышленники продолжают распространять вредоносные программы через поддельные установщики популярных приложений. Такая схема маскировки под привычный софт помогает обмануть пользователей и получить устойчивый доступ к устройствам. Команда Acronis подчёркивает , что активность сохраняется: обнаруживаются новые файлы, а связанная с ними инфраструктура остаётся рабочей. В основе метода лежит социальная инженерия. Применяются названия привычных утилит, рекламные объявления с подменой переходов, поисковая оптимизация и поддельные цифровые сертификаты. Исследователи Даррел Виртусио и Йожеф Гегеньи объясняют, что эти элементы повышают доверие к установщикам и помогают обходить защитные механизмы. Кампания получила название TamperedChef из-за того, что создаваемые ею мнимые инсталляторы выступают проводниками одноимённого вредоносного ПО. Эта активность рассматривается как часть широкой серии операций EvilAI, в которых используются приманки, связанные с инструментами на базе искусственного интеллекта. Чтобы придать ложным приложениям правдоподобие, операторская группа использует сертификаты, оформленные на фиктивные компании из США, Панамы и Малайзии. Когда старые сертификаты отзываются, появляются новые — под другим названием фирмы. В Acronis отмечают, что такая инфраструктура напоминает организованный производственный процесс, позволяющий непрерывно выпускать свежие ключи и прикрывать вредоносный код подписанными сборками. При этом важно учитывать, что под названием TamperedChef разные компании фиксировали не одну и ту же угрозу: часть исследовательских коллективов использует обозначение BaoLoader, а исходный вредоносный файл с этим именем был встроен в фальшивое приложение с рецептами в рамках EvilAI. Типовой сценарий заражения начинается с поиска пользователем инструкций к оборудованию или утилит для работы с PDF. В выдаче появляются рекламные ссылки или подменённые результаты, ведущие на зарегистрированные через NameCheap домены злоумышленников. После загрузки и запуска установщика человеку показывают стандартное соглашение, а по завершении демонстрируют благодарственное сообщение в новом браузерном окне. В это время на машине создаётся XML-файл, который встраивает в систему отложенный запуск скрытого JavaScript-компонента. Этот модуль подключается к внешнему узлу и отправляет базовые идентификаторы устройства и сессии в виде зашифрованного и кодированного JSON-пакета по HTTPS. Цели операторов остаются не до конца понятными. Некоторые версии вредоносного инструмента участвовали в схемах недобросовестной рекламы, что указывает на попытку заработать напрямую. Наряду с этим возможно, что доступ продаётся другим преступным группировкам или используется для сбора конфиденциальных данных с последующей перепродажей на теневых площадках. По данным телеметрии, больше всего заражений зафиксировано в США. В меньших объёмах атаки затронули Израиль, Испанию, Германию, Индию и Ирландию. Чаще всего страдают организации из сферы здравоохранения, строительства и производственного сектора — специалисты объясняют это тем, что сотрудники таких компаний регулярно ищут в сети инструкции к специализированному оборудованию, что делает их уязвимыми к подобным ловушкам. Бэкапы последней надежды на оптике Архивные оптические накопители – единственные российские программно-аппаратные комплексы на базе оптических носителей, которые гарантируют длительный срок службы и сохранность данных на аппаратном уровне. Реклама. 18+ ООО «ПРОСОФТ-ПК», ИНН 7735545525 Поделиться новостью: Закрыть Подпишитесь на email рассылку Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru — новости, статьи, обзоры уязвимостей и мнения аналитиков. Ежедневный выпуск от SecurityLab.Ru Source: https://www.securitylab.ru/news/566397.php