C
月内に
TamperedChef(別名EvilAI)に関連する、トロイの木馬化された生産性ソフトウェア(PDFエディタやカレンダー等)を用いた攻撃キャンペーンが分析され…
📌 一言でいうと
TamperedChef(別名EvilAI)に関連する、トロイの木馬化された生産性ソフトウェア(PDFエディタやカレンダー等)を用いた攻撃キャンペーンが分析されました。攻撃者は悪質な広告(マルバタイジング)を通じてユーザーを誘導し、正規ソフトに見せかけたマルウェアをインストールさせます。これらのサンプルはアドウェアやPUP(不要と思われるプログラム)と共通の特性を持っており、証明書やコードの再利用を通じてクラスター化されています。
🔍該当判定
- PDF編集ソフトやカレンダーアプリを、公式サイト以外(広告経由のサイトなど)からダウンロードしてインストールした
- 社内で「DocuFlex」や「Appsuite」という名称のソフトウェアを利用している
- 不審な広告をクリックして、業務効率化ツールなどのフリーソフトを導入した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないソースや広告経由でのソフトウェアダウンロードを禁止し、公式ベンダーのサイトからのみ入手することを徹底してください。また、エンドポイント保護製品(EDR)を導入し、不審なプロセスの挙動を監視してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ソフトウェアのダウンロードに関するご注意
お疲れさまです。情報システム担当です。
正規のソフト(PDF編集ソフトやカレンダー等)に見せかけて、ウイルスを感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. ネット上の広告や、心当たりのないサイトからソフトウェアをダウンロードしない
2. ソフトを導入する際は、必ず会社の許可を得るか、公式サイトからのみ入手する
3. 不審なポップアップが表示された場合は、すぐにブラウザを閉じる
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
正規のソフト(PDF編集ソフトやカレンダー等)に見せかけて、ウイルスを感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. ネット上の広告や、心当たりのないサイトからソフトウェアをダウンロードしない
2. ソフトを導入する際は、必ず会社の許可を得るか、公式サイトからのみ入手する
3. 不審なポップアップが表示された場合は、すぐにブラウザを閉じる
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Caution Regarding Software Downloads
Dear employees,
We have observed attacks where malware is disguised as legitimate productivity software (such as PDF editors or calendars).
Requested Actions:
1. Do not download software from online advertisements or untrusted websites.
2. Only install software from official vendor sites or approved company sources.
3. Close your browser immediately if you encounter suspicious pop-ups.
Deadline: Immediate
Dear employees,
We have observed attacks where malware is disguised as legitimate productivity software (such as PDF editors or calendars).
Requested Actions:
1. Do not download software from online advertisements or untrusted websites.
2. Only install software from official vendor sites or approved company sources.
3. Close your browser immediately if you encounter suspicious pop-ups.
Deadline: Immediate
件名: 【共有】TamperedChef (EvilAI) によるトロイの木馬化ソフトの配布について
お疲れさまです。TamperedChef (EvilAI) に関する情報共有です。
■ 概要
PDFエディタやカレンダーなどの生産性ソフトをトロイの木馬化し、マルバタイジングを通じて配布するキャンペーンが確認されています。アドウェアやPUPに近い挙動を示しますが、RATなどの悪意あるペイロードを配信する可能性があります。
■ 影響範囲
- 不特定のWindows/macOSユーザー(特に無料の生産性ツールを検索するユーザー)
■ 対応手順
1. EDR/AVにて、不審な署名を持つバイナリや、不自然な親プロセス(ブラウザ→インストーラー→不審なスクリプト)の挙動を監視する
2. ユーザーに対し、広告経由のソフト導入を禁止するポリシーを再周知する
■ 参考情報
- Unit 42 Threat Research
対応優先度: 中
対応期限: 随時
お疲れさまです。TamperedChef (EvilAI) に関する情報共有です。
■ 概要
PDFエディタやカレンダーなどの生産性ソフトをトロイの木馬化し、マルバタイジングを通じて配布するキャンペーンが確認されています。アドウェアやPUPに近い挙動を示しますが、RATなどの悪意あるペイロードを配信する可能性があります。
■ 影響範囲
- 不特定のWindows/macOSユーザー(特に無料の生産性ツールを検索するユーザー)
■ 対応手順
1. EDR/AVにて、不審な署名を持つバイナリや、不自然な親プロセス(ブラウザ→インストーラー→不審なスクリプト)の挙動を監視する
2. ユーザーに対し、広告経由のソフト導入を禁止するポリシーを再周知する
■ 参考情報
- Unit 42 Threat Research
対応優先度: 中
対応期限: 随時
Subject: [Intel] Distribution of Trojanized Software by TamperedChef (EvilAI)
Dear Security Team,
This is a technical update regarding the TamperedChef (aka EvilAI) activity clusters.
■ Overview
Threat actors are distributing trojanized productivity software (e.g., PDF editors, calendars) via malvertising. While sharing traits with PUPs/adware, these clusters utilize certificate and code reuse to deliver malicious payloads.
■ Scope
- General users and organizations downloading productivity tools from non-official sources.
■ Mitigation Steps
1. Monitor EDR/AV for binaries with suspicious certificates or unusual process trees (Browser -> Installer -> Malicious Script).
2. Reinforce corporate policies prohibiting the installation of software from untrusted web advertisements.
■ Reference
- Unit 42 Threat Research
Priority: Medium
Deadline: Ongoing
Dear Security Team,
This is a technical update regarding the TamperedChef (aka EvilAI) activity clusters.
■ Overview
Threat actors are distributing trojanized productivity software (e.g., PDF editors, calendars) via malvertising. While sharing traits with PUPs/adware, these clusters utilize certificate and code reuse to deliver malicious payloads.
■ Scope
- General users and organizations downloading productivity tools from non-official sources.
■ Mitigation Steps
1. Monitor EDR/AV for binaries with suspicious certificates or unusual process trees (Browser -> Installer -> Malicious Script).
2. Reinforce corporate policies prohibiting the installation of software from untrusted web advertisements.
■ Reference
- Unit 42 Threat Research
Priority: Medium
Deadline: Ongoing