Malware BazarBackdoor používá instalaci podobnou Microsoft Store, aby se dostal do Windows

Útočníci používají AppInstaller.exe v systému Windows k distribuci malwaru BazarBackdoor. To zjistila kybernetická bezpečnost výzkumníci ze Sophos Labs. K šíření malwaru se používá nový phishingový útok.

Je zajímavé, že sami zaměstnanci Sophos Labs byli terčem e-mailového spamového útoku.

V jedné z e-mailových zpráv údajně odeslaných „hlavním manažerem Sophos“ Adamem Williamsem, který ve skutečnosti neexistuje. "On" se divil, proč výzkumník neodpověděl na stížnost klienta.

E-mail obsahoval odkaz na zprávu ve formátu PDF, která odhalila novou metodu distribuce malwaru. Zahrnuje Microsoft App Installer používaný aplikací Store ve Windows 10 a Windows 11.

Adresa URL začíná znakem ms-appinstaller:// protokol. Kliknutím na odkaz se spustí výchozí prohlížeč, řekněme Microsoft Edge, který následně spustí software AppInstaller.exe, který Microsoft Store používá k instalaci aplikací.

Odkaz ukazuje na textový soubor s názvem Adobe.appinstaller, který obsahuje pokyny ke stažení a instalaci souboru s názvem Adobe_1.7.0.0_x64.appbundle. Software je podepsán certifikátem, který před několika měsíci vydala společnost Systems Accounting Limited se sídlem ve Spojeném království.

Instalační program vyzve uživatele k instalaci softwaru s názvem „Adobe PDF Component“. Pokud je povolení uděleno, malware BazarBackdoor bude stažen a spuštěn v systému během několika sekund.

BazarBackdoor, stejně jako BazarLoader, komunikuje přes HTTPS, ale liší se od něj velkým množstvím hlučného provozu, který backdoor generuje. BazarBackdoor je známý tím, že zachycuje systémová data. Předpokládá se také, že souvisí s instalací Trickbota a ransomwaru Ryuk.

Více podrobností lze nalézt na oficiální blog Sophos.