新型恶意软件 TamperedChef 利用生产力工具获取立足点及导出敏感数据

攻击流程

TamperedChef 活动主要围绕两个应用Calendaromati.exe && ImageLooker.exe。均被伪装成生产力工具，实则暗藏载荷。这俩应用通过分发自解压的7-zip文件并利用CVE-2025-0411，7-zip文件通过嵌套压缩绕过win的MoTW(Mark of the Web protections)机制，从而避免触发SmartScreen警告以及其他基于信誉的安全控制，实现执行。TamperedChef同样使用利用欺诈性广告以及搜索引擎优化技术来引导受害者下载恶意软件，主要针对于搜索使用免费生产力工具的用户(有被冒犯），跟之前的虚假MSTeams下载器行为类似。

Field Effect 分析师在 2025 年 9 月 22 日发现该攻击活动，当时他们正对微软 Defender 标记的可能不需要的应用进行例行分析。 ![[Pasted image 20250930143215.png]] 调查结果显示，一个包括许多可疑的签名发布商以及C2服务设施的广泛的分发网络显现出来。研究者还发现上述两个恶意工具通过实体CROWN SKY LLC和LIMITED LIABILITY COMPANY APPSOLUTE进行数字签名，给工具提供了表面的合法性有助于取得用户信任以及绕过终端防护。恶意工具的影响不仅是简单的数据窃取，它通过浏览器劫持、凭证收集以及持续化的后门全面入侵系统。 TamperedChef同时还体现了另一复杂能力。它可以在重定向web流量的同时，从浏览器中提取凭证及会话信息，以及修改浏览器设置为正在进行的恶意活动提供便利。

高级规避：Unicode 编码和框架利用

TamperedChef 还体现了又一惊人的技术复杂度，通过利用现代应用程序框架以及高级编码技术实现攻击。Calendaromatic.exe 与 ImageLooker.exe 都使用了NeutralinoJS. —— 轻量级桌面框架，支持在原生应用程序内执行任意JS代码。该框架的使用，允许恶意软件与系统API无缝交互，同时保持合法的桌面软件外观。 恶意软件还使用Unicode同形异义词作为主要规避手段，将恶意负载编码于看似无害的 API 响应中。这种技术使恶意软件能够绕过安全产品依赖的传统基于字符串的检测系统和特征码匹配算法。

当执行时，该恶意软件会解码这些隐藏的有效载荷，并通过 NeutralinoJS 运行时环境执行它们，实际上创建了一个在常规监控系统雷达下运行的隐蔽执行通道。持久化机制包括创建计划任务和修改注册表，通过特定命令行标志（如 --install 、 --enableupdate 和 --fullupdate ） 成功安装后，恶意软件会立即与包括 calendaromatic[.]com 和 movementxview[.]com 在内的命令控制服务器建立通信，使远程操作者能够下达指令并外泄收集的数据。

网络通信通过加密渠道进行，这也进一步增加了安全团队检测和分析工作的复杂性。