Скачали PDF-редактор? Готовьтесь прощаться с паролями от всех ваших аккаунтов
NewsMaker«Бесплатный сыр» теперь прячется в архиваторах и программах для документов.
Palo Alto Networks раскрыла масштабную сеть вредоносных программ TamperedChef, которые маскируются под безобидные PDF-редакторы, архиваторы и другие «полезные» утилиты. За внешне обычными приложениями скрывались инструменты для кражи данных, удалённого доступа и скрытой установки дополнительного вредоносного ПО. Авторы отчёта считают, что подобные кампании уже несколько лет действуют по всему миру и успели заразить тысячи устройств.
Специалисты изучили более 4 тысяч образцов вредоносных файлов и свыше сотни вариантов программ, выдававших себя за легитимное ПО. Среди популярных приманок фигурировали Calendaromatic, CrystalPDF, AppSuite PDF, RocketPDFPro и OneZip. Распространяли такие приложения через рекламные объявления в поисковых системах и на сайтах, где пользователям обещали бесплатные инструменты для работы с документами, изображениями или архивами.
Главная особенность TamperedChef заключается в необычной скрытности. После установки программа могла неделями не проявлять подозрительной активности, продолжая работать как обычное приложение. Позже вредоносный модуль связывался с управляющим сервером и загружал дополнительный код. В ряде случаев злоумышленники устанавливали стилеры для кражи паролей, RAT-инструменты или инструменты для подмены браузерных настроек.
Авторы исследования выделили три крупных кластера активности, которые отслеживаются под названиями CL-CRI-1089, CL-UNK-1090 и CL-UNK-1110. Каждый кластер использовал собственную инфраструктуру, но методы работы оказались очень похожими. Для повышения доверия к программам операторы массово применяли действительные сертификаты цифровой подписи. Аналитики насчитали не менее 81 организации, чьи сертификаты использовались для подписи вредоносных файлов.
Отдельное внимание Palo Alto Networks уделила рекламной инфраструктуре . Операторы вредоносных кампаний не только создавали программы, но и сами продвигали их через рекламные сети. В отчёте упоминается израильская компания CANDY TECH LTD, связанная с тысячами рекламных объявлений для распространения поддельных утилит. Через подобные объявления пользователи попадали на профессионально оформленные сайты с кнопками загрузки и юридическими соглашениями, создававшими иллюзию легального продукта.
По данным компании, атаки затронули организации и частных пользователей по всему миру без явной географической привязки. В Palo Alto Networks считают, что популярность подобных схем продолжит расти, а злоумышленники будут всё активнее использовать рекламные платформы и генеративный ИИ для создания новых вредоносных кампаний.
Palo Alto Networks раскрыла масштабную сеть вредоносных программ TamperedChef, которые маскируются под безобидные PDF-редакторы, архиваторы и другие «полезные» утилиты. За внешне обычными приложениями скрывались инструменты для кражи данных, удалённого доступа и скрытой установки дополнительного вредоносного ПО. Авторы отчёта считают, что подобные кампании уже несколько лет действуют по всему миру и успели заразить тысячи устройств.
Специалисты изучили более 4 тысяч образцов вредоносных файлов и свыше сотни вариантов программ, выдававших себя за легитимное ПО. Среди популярных приманок фигурировали Calendaromatic, CrystalPDF, AppSuite PDF, RocketPDFPro и OneZip. Распространяли такие приложения через рекламные объявления в поисковых системах и на сайтах, где пользователям обещали бесплатные инструменты для работы с документами, изображениями или архивами.
Главная особенность TamperedChef заключается в необычной скрытности. После установки программа могла неделями не проявлять подозрительной активности, продолжая работать как обычное приложение. Позже вредоносный модуль связывался с управляющим сервером и загружал дополнительный код. В ряде случаев злоумышленники устанавливали стилеры для кражи паролей, RAT-инструменты или инструменты для подмены браузерных настроек.
Авторы исследования выделили три крупных кластера активности, которые отслеживаются под названиями CL-CRI-1089, CL-UNK-1090 и CL-UNK-1110. Каждый кластер использовал собственную инфраструктуру, но методы работы оказались очень похожими. Для повышения доверия к программам операторы массово применяли действительные сертификаты цифровой подписи. Аналитики насчитали не менее 81 организации, чьи сертификаты использовались для подписи вредоносных файлов.
Отдельное внимание Palo Alto Networks уделила рекламной инфраструктуре . Операторы вредоносных кампаний не только создавали программы, но и сами продвигали их через рекламные сети. В отчёте упоминается израильская компания CANDY TECH LTD, связанная с тысячами рекламных объявлений для распространения поддельных утилит. Через подобные объявления пользователи попадали на профессионально оформленные сайты с кнопками загрузки и юридическими соглашениями, создававшими иллюзию легального продукта.
По данным компании, атаки затронули организации и частных пользователей по всему миру без явной географической привязки. В Palo Alto Networks считают, что популярность подобных схем продолжит расти, а злоумышленники будут всё активнее использовать рекламные платформы и генеративный ИИ для создания новых вредоносных кампаний.