TamperedChef Malware Spreads via Fake Software Installers in Ongoing Global Campaign

4 minute de lecture

Mis à jour : November 20, 2025

Campagne TamperedChef : Diffusion de Malware via de Faux Installateurs

Une campagne de malvertising mondiale, nommée TamperedChef, utilise des installateurs falsifiés se faisant passer pour des logiciels populaires afin de distribuer des malwares. L’objectif final est d’établir une persistance sur les systèmes et de déployer un malware JavaScript permettant un accès et un contrôle à distance. Les opérateurs de cette campagne recourent à l’ingénierie sociale, la malvertising, l’optimisation pour les moteurs de recherche (SEO), et l’utilisation de certificats numériques falsifiés pour tromper les utilisateurs et échapper aux détections de sécurité.

Cette campagne, qui semble faire partie d’un ensemble d’attaques plus large appelé EvilAI, exploite des installateurs apparemment légitimes pour distribuer un voleur d’informations. Pour conférer une apparence de légitimité, les attaquants utilisent des certificats de signature de code émis pour des sociétés écrans enregistrées aux États-Unis, au Panama et en Malaisie, et acquièrent de nouveaux certificats lorsque les anciens sont révoqués. L’infrastructure de la campagne est décrite comme “industrialisée et professionnelle”, permettant une production constante de nouveaux certificats et exploitant la confiance associée aux applications signées.

Le processus d’infection typique commence par des publicités malveillantes ou des liens web compromis apparaissant dans les résultats de recherche pour des logiciels légitimes (ex: éditeurs de PDF, manuels de produits). Ces liens redirigent les victimes vers des domaines frauduleux où elles sont incitées à télécharger de faux installateurs. Une fois exécuté, le faux programme lance une interface utilisateur normale et une fausse page de remerciement, tandis qu’en arrière-plan, un fichier XML est utilisé pour créer une tâche planifiée. Cette tâche lance un backdoor JavaScript obfusqué qui se connecte à un serveur externe pour envoyer des métadonnées cryptées et encodées. Les objectifs finaux de la campagne varient, incluant potentiellement la fraude publicitaire, la monétisation de l’accès pour d’autres cybercriminels, ou la collecte et la vente de données sensibles. Les États-Unis, Israël, l’Espagne, l’Allemagne, l’Inde et l’Irlande sont les pays les plus touchés, avec une concentration notable dans les secteurs de la santé, de la construction et de la fabrication.

Points Clés :

Nom de la campagne : TamperedChef
Méthode de diffusion : Faux installateurs de logiciels populaires, malvertising, SEO.
Objectif principal : Établir une persistance et livrer un malware JavaScript pour accès et contrôle à distance.
Techniques d’évasion : Ingénierie sociale, certificats de signature de code falsifiés, obfuscation du payload.
Cible géographique : Concentration aux États-Unis, suivie par Israël, l’Espagne, l’Allemagne, l’Inde et l’Irlande.
Secteurs affectés : Santé, construction, fabrication.
Noms alternatifs du malware : BaoLoader (par Expel).

Vulnérabilités exploitées :

Bien que l’article ne mentionne pas de CVE spécifiques, les vulnérabilités exploitées sont liées à :

La confiance des utilisateurs : Utilisation de noms de logiciels familiers et de certificats de signature de code falsifiés pour tromper les utilisateurs.
La vulnérabilité aux publicités malveillantes et au SEO empoisonné : Les utilisateurs qui recherchent des logiciels légitimes sont dirigés vers des sites compromis.
Les faiblesses dans la vérification des signatures de code : L’utilisation de certificats signés, même s’ils sont falsifiés ou issus de sociétés écrans, peut contourner certaines vérifications initiales.

Recommandations :

Prudence lors du téléchargement de logiciels : Télécharger les logiciels uniquement à partir des sites officiels des éditeurs ou de sources de confiance reconnues.
Vérification de la légitimité des sources : Être sceptique face aux publicités ou aux liens provenant de sources inconnues, même s’ils semblent liés à des logiciels populaires.
Maintien à jour des logiciels de sécurité : Utiliser des solutions antivirus et anti-malware performantes et s’assurer qu’elles sont régulièrement mises à jour.
Prudence avec les certificats de signature de code : Bien que les utilisateurs finaux ne vérifient pas directement les certificats, les entreprises peuvent mettre en place des politiques pour restreindre l’exécution des applications non signées ou signées par des entités suspectes.
Sensibilisation aux techniques d’ingénierie sociale : Former les utilisateurs à reconnaître les tentatives de phishing et de manipulation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

TamperedChef Malware Spreads via Fake Software Installers in Ongoing Global Campaign

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast