🛡 概要
最近、TamperedChefと呼ばれる情報盗難マルウェアが、偽のPDF編集アプリを通じて配布されていることが確認されました。このアプリは、Google広告を利用して広範囲にわたって配布されており、ユーザーを騙してシステムにインストールさせる手法が取られています。研究者によると、50以上のドメインがこの悪意あるアプリをホストしており、少なくとも4つの異なる企業から発行された偽の証明書で署名されています。キャンペーンは巧妙に計画されており、広告が終了するのを待った後に悪意のある機能が有効化される仕組みとなっています。
🔍 技術詳細
TamperedChefは、AppSuite PDF Editorという無料のツールを通じて配布されています。このマルウェアは、ユーザーのシステムに侵入した後、データを収集するための悪意のある更新を受け取ることがあります。特に、2024年8月21日に行われた更新によって、ユーザーの資格情報やWebクッキーを収集する機能が有効になりました。CVE情報は確認されていませんが、CVSSスコアに関する具体的なデータは現時点では不明です。研究者は、マルウェアがホスト上のセキュリティエージェントを確認し、DPAPIを利用してインストールされたWebブラウザのデータベースをクエリすることを発見しました。これにより、ユーザーの個人情報が危険にさらされる可能性があります。
⚠ 影響
このキャンペーンは、ユーザーのデータを盗むだけでなく、システムを住宅用プロキシに変えるなど、さらなる悪影響を及ぼす可能性があります。研究によると、OneStartという他のツールも関与しており、これもアドウェアとして識別されています。悪意のあるアプリは、ユーザーに対して自分のデバイスを住宅用プロキシとして使用する許可を求めるメッセージを表示することがあります。これにより、ユーザーは気づかぬうちに自分のデバイスを悪用されるリスクにさらされます。さらに、研究者は、このキャンペーンにはまだ武器化されていない他のアプリも含まれており、それらもマルウェアを配布する可能性があると警告しています。
🛠 対策
現在、このキャンペーンに関連するコード署名証明書は取り消されていますが、すでにインストールされているアプリについては依然としてリスクが残っています。ユーザーは、信頼できないソースからのアプリのダウンロードを避け、定期的にセキュリティソフトウェアを更新することが重要です。また、怪しいアプリをインストールした場合は、速やかにアンインストールし、システムをスキャンすることを推奨します。研究者が提供するインジケーター(IoCs)を活用して、感染のリスクを低減するための防御策を講じることが重要です。ユーザーの意識を高めることも、これらの脅威から身を守るための重要なステップです。
