Tehdit Aktörlerinin Yeni Yöntemleri: TamperedChef’in Dağıtımı
Siber güvenlik alanında gerçekleştirilen araştırmalar, tehdit aktörlerinin “AppSuite PDF Editor” adıyla tanıtılan sahte bir PDF düzenleme uygulaması aracılığıyla bir bilgi ç stealing malware olan TamperedChef‘i yaymak için çeşitli siteleri kullandığını ortaya koydu. Bu kampanya, birbiriyle bağlantılı bir dizi uygulama içeren geniş bir operasyonun parçasıdır. Kullanıcıları, sistemlerini konut proxy’lerine kaydolmaya ikna eden bazı uygulamalarla aldatmaktadır.
Dolandırıcılık Sertifikaları ve Sahte Domainler
Araştırmalar, en az 50 tane alan adı ile sahte uygulamaların barındırıldığını ve bunların dört farklı şirkete ait sahte sertifikalarla imzalandığını göstermektedir. Operatörlerin, reklamların etkisini bekleyip uygulamaların kötü amaçlı bileşenlerini aktive etmeden önce kullanıcılara sunum yapmayı tercih ettikleri anlaşılmaktadır. Bu durum, siber güvenlik araştırmacıları tarafından dikkat çekici bir şekilde değerlendirilmektedir.
TamperedChef Enfekte Edici Güncellemesi
Truesec adlı siber güvenlik hizmetleri şirketi, TamperedChef enfekte edicisinin nasıl dağıtıldığını analiz ederek önemli bulgular elde etmiştir. Araştırmacılar, malware’in bir dizi web sitesi üzerinden “AppSuite PDF Editor” adındaki ücretsiz bir araç olarak tanıtıldığına dair kanıtlar bulmuşlardır. İnternet kayıtlarına göre, bu kampanya 26 Haziran‘da başlamıştır. Ancak, kötü amaçlı uygulamanın, 15 Mayıs’ta VirusTotal kötü amaçlı yazılım tarama hizmeti aracılığıyla onaylandığı görülmektedir.
Kötü Amaçlı Güncelleme Süreci
Uygulama, 21 Ağustos’ta aldığı bir güncelleme ile kötü amaçlı yeteneklerinin aktive edildiği tespit edilmiştir. Bu güncelleme ile kullanıcıların kimlik bilgileri ve web çerezleri gibi hassas verileri toplama amacı taşımaktadır. Truesec’e göre, TamperedChef infostealer, PDF editörünün yürütülebilir dosyası için “-fullupdate” argümanı ile dağıtılmaktadır. Bu malware, barındırıldığı makinedeki çeşitli güvenlik ajanlarını kontrol etmekte ve Windows’un şifreli veri koruma arayüzünü kullanarak yüklü web tarayıcılarına ait veritabanlarını sorgulamaktadır.
Google Reklamları ile Yayılma Stratejisi
Araştırmacılar, TamperedChef’i dağıtan tehdidi aktive eden aktörlerin, Google reklamlarını kötüye kullandığına dair kanıtlar bulmuşlardır. Truesec, en az 5 farklı Google kampanya kimliği gözlemleriyle bu kampanyanın yaygın olduğuna dikkat çekmiştir. Tehdit aktörünün, kötü amaçlı bileşeni aktive etmeden önce indirmeleri maksimize etme stratejisi izlediği düşünülen bir diğer noktadır.
Konut Proxy’sine Katılım
Bu kampanyanın operatörünün ECHO Infini SDN BHD, GLINT By J SDN. BHD ve SUMMIT NEXUS Holdings LLC, BHD gibi en az dört farklı şirkete ait sertifikalarla imzalanmış uzmanlaşmış araçları tanıttığı belirlenmiştir. Truesec tarafından yapılan araştırmada, bu kampanyanın en az Ağustos 2024’ten beri aktif olduğu ve OneStart ve Epibrowser gibi diğer araçların tanıtımını yapmak için kullanıldığı tespit edilmiştir.
Potansiyel Olarak İstenmeyen Programlar (PUP)
OneStart genellikle potansiyel olarak istenmeyen programlar (PUP) arasında sayılmakta olup, reklam yazılımı olarak tanımlanmaktadır. Ancak, Expel adlı bir yönetimli tespit ve yanıt şirketinin yaptığı araştırmalar, AppSuites PDF Editor, ManualFinder ve OneStart gibi uygulamaların şüpheli dosyalar bıraktığını, beklenmedik komutlar icra ettiğini ve cihazları konut proxy’lerine dönüştürdüğünü ortaya koymuştur.
Kullanıcıları Tehdit Eden Uygulamalar
Araştırmacılar, bazı PDF editör uygulamalarının, kullanıcıların cihazlarını konut proxy’si olarak kullanma izni isteyen mesajlar gösterdiğini belirtmektedir. Bu durum, kullanıcıların özellikle dikkatli olması gerektiği anlamına gelmektedir. PDF Editor arkasındaki bireylerin, kullanıcıların aleyhine kazanç elde etmeye çalıştığı ve bunun kullanıcı güvenliğini ihlal ettiği düşünülebilir.
Sonuç olarak, bu kampanya aslında birçok uygulama içeriyor ve bazıları henüz silahlandırılmamıştır. Kullanıcıların ve sistemlerinin en iyi şekilde korunabilmesi için Truesec ve Expel gibi şirketler, birçok ilkeler ve işlem göstergeleri (IoCs) sunmaktadır. Bu bilgilerin kullanılması, kullanıcıların ve kuruluşların siber güvenliklerini artırmalarında önemli bir rol oynamaktadır.
