Credit image: Freepix
Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef – Para peneliti keamanan siber telah menemukan kampanye kejahatan siber yang menggunakan trik malvertising.
Trik iklan berbahaya ini mengarahkan korban ke situs-situs palsu. Tujuannya adalah untuk menyebarkan malware pencuri informasi baru yang disebut TamperedChef.
Menurut para peneliti tujuannya adalah untuk memancing korban mengunduh dan menginstal editor PDF yang terinfeksi trojan, yang menyertakan malware pencuri informasi bernama TamperedChef. Malware ini dirancang untuk memanen data sensitif, termasuk kredensial dan web cookies.”
Inti dari kampanye ini adalah penggunaan beberapa situs palsu yang mempromosikan penginstal editor PDF gratis bernama AppSuite PDF Editor. Setelah diinstal, program ini akan menampilkan jendela persetujuan untuk syarat dan ketentuan.
Namun, di balik layar, program ini melakukan permintaan tersembunyi ke server eksternal untuk mengunduh program editor PDF yang asli, sambil juga mengatur persistence pada host dengan mengubah Registri Windows.
|
Baca juga: PS1Bot Menyerang Melalui Malvertising |
Cara Kerja TamperedChef
G DATA yang juga menganalisis aktivitas ini, mengatakan bahwa berbagai situs web yang menawarkan editor PDF ini mengunduh penginstal yang sama. Penginstal tersebut kemudian akan mengunduh program editor PDF dari server setelah pengguna menerima perjanjian lisensi.
Pada awalnya, program ini tampak tidak berbahaya. Namun, kode yang ada di dalamnya berisi instruksi untuk secara teratur memeriksa pembaruan dari sebuah file .js yang menyertakan argumen –cm.
Sejak 21 Agustus 2025, mesin yang terinfeksi mulai menerima instruksi yang mengaktifkan kemampuan berbahaya, yaitu TamperedChef.
Setelah diaktifkan, stealer ini mengumpulkan daftar produk keamanan yang terinstal dan mencoba mematikan peramban web untuk mengakses data sensitif seperti kredensial dan cookies.
|
Baca juga: Mengenal Malvertising |
Fitur-fitur Backdoor
Analisis lebih lanjut mengungkapkan bahwa aplikasi yang terinfeksi malware ini bertindak sebagai backdoor, dengan beberapa fitur:
- Membuat tugas terjadwal yang menjalankan aplikasi dengan argumen berbeda untuk memicu rutinitas check dan ping.
- Dipanggil oleh program uninstaller untuk menghapus file backdoor, memutus registrasi mesin dari server, dan menghapus tugas terjadwal.
- Memulai komunikasi dengan server command-and-control (C2) untuk menerima instruksi seperti mengunduh malware tambahan, mengeksfiltrasi data, atau mengubah Registri.
- Menghubungi server C2 untuk konfigurasi, membaca kunci peramban, mengubah pengaturan peramban, dan mengeksekusi perintah sewenang-wenang untuk mengambil dan memanipulasi data dari peramban Chromium, OneLaunch, dan Wave, termasuk kredensial, riwayat peramban, dan cookies.
Para peneliti menduga bahwa operasi ini dimulai pada 26 Juni 2025, saat banyak situs palsu terdaftar atau mulai mengiklankan perangkat lunak tersebut.
Jarak waktu 56 hari antara awal kampanye iklan dan aktivasi fitur berbahaya ini mendekati durasi kampanye iklan Google yang khas (60 hari).
Ini menunjukkan bahwa pelaku ancaman membiarkan kampanye iklan berjalan sepenuhnya untuk memaksimalkan unduhan sebelum mengaktifkan kemampuan jahatnya.
Pemberitahuan ini bertepatan dengan analisis dari Expel yang merinci kampanye iklan besar-besaran yang mengiklankan editor PDF.
Iklan tersebut mengarahkan pengguna ke situs web yang menawarkan unduhan alat seperti AppSuite, PDF OneStart, dan PDF Editor. Dalam beberapa kasus, program-program PDF ini ditemukan mengunduh aplikasi trojan lain tanpa persetujuan pengguna.
Sumber berita:
