تستخدم البرامج الضارة BazarBackdoor تثبيتًا مشابهًا لمتجر Microsoft للوصول إلى Windows

يستخدم المهاجمون AppInstaller.exe على Windows لتوزيع البرامج الضارة BazarBackdoor. تم العثور على ذلك من خلال الأمن السيبراني باحثين في مختبرات سوفوس. يتم استخدام هجوم تصيد جديد لنشر البرامج الضارة.

ومن المثير للاهتمام أن موظفي Sophos Labs أنفسهم كانوا أهدافًا لهجوم البريد الإلكتروني العشوائي.

في إحدى رسائل البريد الإلكتروني التي يُزعم أنها أرسلها "مدير Sophos الرئيسي" ، آدم ويليامز ، غير موجود بالفعل. وتساءل "هو" عن سبب عدم رد الباحث على شكوى العميل.

تضمن البريد الإلكتروني رابطًا لرسالة PDF كشفت عن طريقة جديدة لتوزيع البرامج الضارة. يتضمن مثبت تطبيقات Microsoft الذي يستخدمه تطبيق المتجر في نظامي التشغيل Windows 10 و Windows 11.

يبدأ عنوان URL بامتداد ms-appinstaller: // بروتوكول. سيؤدي النقر فوق الارتباط إلى تشغيل المتصفح الافتراضي ، على سبيل المثال Microsoft Edge ، والذي سيطلق لاحقًا برنامج AppInstaller.exe الذي يستخدمه متجر Microsoft لتثبيت التطبيقات.

يشير الارتباط إلى ملف نصي يسمى Adobe.appinstaller ، والذي يحتوي على إرشادات لتنزيل وتثبيت ملف يسمى Adobe_1.7.0.0_x64.appbundle. تم توقيع البرنامج بشهادة تم إصدارها قبل بضعة أشهر فقط ، من قبل Systems Accounting Limited ، ومقرها في المملكة المتحدة.

سيطلب المثبت المستخدم لتثبيت برنامج يسمى "Adobe PDF Component". إذا تم منح الإذن ، فسيتم تنزيل البرنامج الضار BazarBackdoor وتشغيله على النظام في ثوانٍ.

يتواصل BazarBackdoor ، مثل BazarLoader ، عبر HTTPS ، لكنه يختلف عنه في الكم الهائل من حركة المرور الصاخبة التي يولدها الباب الخلفي. من المعروف أن BazarBackdoor يعترض بيانات النظام. يُعتقد أيضًا أنه مرتبط بتثبيت Trickbot و Ryuk ransomware.

يمكن العثور على مزيد من التفاصيل على مدونة سوفوس الرسمية.