Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

TamperedChef: стиллер из вредоносной рекламы, закреплённый через Node.js

3 мин
В августе 2025 года на конечной точке пользователя было зафиксировано обнаружение вредоносного ПО TamperedChef. Инцидент начался с вредоносной рекламы (malvertising), которая привела к загрузке троянской утилиты AllManualsReader и далее — к развёртыванию более сложной цепочки атак, направленной на кражу конфиденциальных данных. Расследование показало следующую последовательность событий: Ключевые технические моменты инцидента заслуживают отдельного внимания: По данным расследования: «на основании наблюдаемого поведения и отсутствия последующей разрушительной активности, основная цель оператора TamperedChef, скорее всего — эксфильтрация конфиденциальных данных, а не непосредственное саботирование системы». Анализ поведения указывает на приоритет сбора и извлечения информации: атакующие, скорее всего, ориентировались на учетные данные, файлы конфигурации, cookie и другую конфиденциальную информацию, доступную на конечной точке. Отсутствие немедленных «взрывных» действий иногда свидетельс
Оглавление

В августе 2025 года на конечной точке пользователя было зафиксировано обнаружение вредоносного ПО TamperedChef. Инцидент начался с вредоносной рекламы (malvertising), которая привела к загрузке троянской утилиты AllManualsReader и далее — к развёртыванию более сложной цепочки атак, направленной на кражу конфиденциальных данных.

Краткий ход инцидента

Расследование показало следующую последовательность событий:

  • Пользователь подвергся drive-by компрометации через вредоносную рекламу (malvertising), в результате чего на машину попал троян AllManualsReader.
  • В процессе заражения на диск была сброшена упакованная среда выполнения Node.js runtime в каталог, доступный для записи пользователем.
  • Вредоносное ПО выполняло JavaScript-код через командную строку, запуская cmd.exe /min.
  • Для закрепления в системе было создано расписание — запланированная задача, настроенная на повторный запуск Node.js executable каждые 12 часов с рандомизированной задержкой, чтобы затруднить обнаружение.
  • Исходящая связь организовывалась по стандартным Web-протоколам и использовала размещённую в облаке IP-инфраструктуру для операций управления и контроля (C2).

Технический анализ

Ключевые технические моменты инцидента заслуживают отдельного внимания:

  • Исполнение через Node.js: использование упакованного Node.js runtime позволяет злоумышленникам запускать сложные JavaScript-модули вне стандартных браузеров и расширяет набор доступных возможностей для сбора данных и сетевого взаимодействия.
  • Метод закрепления: reliance исключительно на запланированной задаче (Task Scheduler) — простая, но эффективная техника для обеспечения выживания между перезагрузками. Рандомизация задержки снижает детектируемость по регулярным сигнатурам активности.
  • Коммуникации C2: использование облачной IP-инфраструктуры и стандартных Web-протоколов усложняет блокировку и маскирует трафик под легитимные запросы.
  • Поведение при заражении: на начальных этапах не выявлялось очевидно деструктивных действий — основная активность совпадает с паттерном information stealer.
По данным расследования: «на основании наблюдаемого поведения и отсутствия последующей разрушительной активности, основная цель оператора TamperedChef, скорее всего — эксфильтрация конфиденциальных данных, а не непосредственное саботирование системы».

Оценка намерений и риск

Анализ поведения указывает на приоритет сбора и извлечения информации: атакующие, скорее всего, ориентировались на учетные данные, файлы конфигурации, cookie и другую конфиденциальную информацию, доступную на конечной точке. Отсутствие немедленных «взрывных» действий иногда свидетельствует о целенаправленном и поэтапном подходе к атаке, где начальная компрометация — лишь первая ступень.

Рекомендации по обнаружению и реагированию

Практические шаги, которые помогут обнаружить и нейтрализовать аналогичные инциденты:

  • Проверить Task Scheduler на наличие неизвестных или подозрительных задач, настроенных на регулярный запуск Node.js executable с интервалом ~12 часов;
  • Искать нетипичные установки Node.js runtime в пользовательских или временных каталогах (writable directories); стандартные установки обычно находятся в контролируемых системных путях;
  • Мониторить исходящие соединения по стандартным Web-протоколам к неизвестным или облачным IP-адресам; уделять внимание аномалиям в частоте и объёме трафика;
  • Провести детальную проверку на наличие AllManualsReader и сопутствующих артефактов; удалить вредоносные бинарники и расписания, затем выполнить полное сканирование EDR/AV;
  • Обновить браузеры, блокировать агрессивные рекламные сети и использовать фильтрацию malvertising на уровне прокси/фильтров рекламы;
  • Ввести меры по снижению привилегий записи в пользовательских каталогах и ограничить возможность запуска неподписанных исполняемых файлов;
  • Повысить осведомлённость пользователей о рисках кликов по рекламе и подозрительных ссылках.

Вывод

Инцидент с TamperedChef демонстрирует, как относительно простые векторные элементы — malvertising и троянское ПО — могут стать входной точкой для развертывания более сложной платформы на базе Node.js и организации скрытых каналов управления. Ключ к снижению риска — оперативное обнаружение нестандартных запусков Node.js в пользовательских каталогах, тщательная проверка запланированных задач и проактивная фильтрация вредоносной рекламы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "TamperedChef: стиллер из вредоносной рекламы, закреплённый через Node.js".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются