Effect威胁情报团队发现新一轮TamperedChef恶意软件活动,该活动利用数字签名二进制文件、欺骗性打包和浏览器劫持程序,将恶意软件伪装成日常生产力工具进行分发。此次活动围绕两个被植入木马的应用程序展开:ImageLooker.exe 和Calendaromatic.exe ,两者均通过自解压归档文件传播。
调查始于2025年9月底,当时微软Defender标记了一个潜在有害应用程序(PUA)。Field Effect表示:“PUA(可能不具有明显恶意但表现出侵入性行为的软件)可作为更严重威胁的有效投递机制。”
ImageLooker和Calendaromatic均以自解压7-Zip归档文件形式分发,以绕过基础安全控制。Field Effect指出:“这些可执行文件使用NeutralinoJS构建——这是一个轻量级桌面框架,允许执行任意JavaScript代码。它通过欺骗性广告和搜索引擎操纵进行传播。”
研究人员将这些二进制文件与TamperedChef活动关联,该活动此前以植入木马的生产力应用而闻名。报告解释:“Calendaromatic已通过恶意软件样本库与TamperedChef活动关联……TamperedChef使用多个数字签名者和PUA来重定向流量、修改浏览器设置,并为恶意软件下载提供便利。”
参与分发的恶意软件发布者包括CROWN SKY LLC、APPSOLUTE有限责任公司、OneStart Technologies LLC、Sunstream Labs等实体——这些实体此前已被指参与分发植入木马的生产力工具、浏览器劫持程序和滥用住宅代理。
该活动大量使用混淆和隐蔽编码技术。Field Effect报告称:“恶意软件利用Unicode同形异义字在看似良性的API响应中编码载荷,从而绕过基于字符串的检测和特征匹配。”
- 利用CVE-2025-0411漏洞绕过Windows Mark of the Web保护机制;
- 使用**–install、–enableupdate、–fullupdate等命令行标志**实现持久化;
- 与calendaromatic[.]com和movementxview[.]com建立C2通信;
- 窃取浏览器数据、存储的凭证和会话信息。
受害者通过SEO投毒和欺骗性广告被引诱。Field Effect解释:“威胁行为者通过创建关键词堆砌的着陆页,在‘免费PDF编辑器’‘Windows日历应用’或‘图片查看器下载’等查询中排名靠前,从而操纵搜索引擎结果。”
这些虚假网站模仿合法软件门户,展示信任徽章、伪造评论和下载计数器,诱使用户下载恶意安装程序。
TamperedChef活动例证了PUA如何被武器化,成为恶意软件分发生态系统的一部分,模糊了“滋扰软件”与全面网络犯罪之间的界限。攻击者通过结合数字签名二进制文件、混淆技术、同形异义字编码和欺骗性分发,成功绕过基于信誉的防御并利用用户信任。
Field Effect警告:“TamperedChef活动表明,威胁行为者正在通过武器化潜在有害应用程序、滥用数字代码签名和部署隐蔽编码技术,不断进化其投递机制。”
发表评论
您还未登录,请先登录。
登录