Rastreando Clusters TamperedChef por Reuso de Certificado e Código

A Unit 42 mapeou três clusters TamperedChef (também conhecido como EvilAI) que distribuem aplicativos de produtividade trojanizados (editores de PDF, calendários e ferramentas ZIP). Estes aplicativos permanecem inativos por semanas antes de puxar stealers de segunda fase, RATs ou malware de proxy. Foram identificadas mais de 4.000 amostras em 100 variantes, focando no reuso de certificados de assinatura de código, sobreposição de código e dados de transparência de anúncios. Os operadores atuam mais como especialistas em publicidade e logística do que em malware, registrando empresas de fachada para certificados OV/EV (um deles, CL-CRI-1089, consumiu 34 certificados custando mais de US$ 10.000), executando mais de 20.000 malvertisements e utilizando sites de distribuição gerados por LLM com páginas visualmente semelhantes, mas estruturas de DOM distintas.

Para defesa, recomenda-se a implantação de EDR/XDR e navegadores corporativos atualizados, o endurecimento de endpoints contra instalações de software não confiável, a caça por persistência via tarefas agendadas e chaves de registro Run, além da revogação de tokens e redefinição de credenciais armazenadas no navegador em caso de infecção confirmada.