BazarBackdoor-Malware verwendet eine Microsoft Store-ähnliche Installation, um in Windows einzudringen
Angreifer verwenden AppInstaller.exe unter Windows, um die BazarBackdoor-Malware zu verbreiten. Das hat Cybersecurity herausgefunden Forscher der Sophos Labs. Ein neuer Phishing-Angriff wird verwendet, um die Malware zu verbreiten.
Interessanterweise waren die Mitarbeiter der Sophos Labs selbst Ziel der E-Mail-Spam-Attacke.
Bildnachweis: Sophos Labs
In einer der E-Mail-Nachrichten, die angeblich von einem „Sophos Main Manager“ gesendet wurden, Adam Williams, den es nicht wirklich gibt. "Er" fragte sich, warum der Forscher nicht auf die Beschwerde eines Kunden reagiert hatte.
Die E-Mail enthielt einen Link zu einer PDF-Nachricht, die eine neue Methode zur Verbreitung von Malware enthüllte. Es handelt sich um den Microsoft App Installer, der von der Store-App in Windows 10 und Windows 11 verwendet wird.
Die URL beginnt mit dem ms-appinstaller:// Protokoll. Wenn Sie auf den Link klicken, wird der Standardbrowser gestartet, beispielsweise Microsoft Edge, der anschließend die AppInstaller.exe-Software startet, die vom Microsoft Store zum Installieren von Anwendungen verwendet wird.
Der Link verweist auf eine Textdatei namens Adobe.appinstaller, die Anweisungen zum Herunterladen und Installieren einer Datei namens Adobe_1.7.0.0_x64.appbundle enthält. Die Software ist mit einem Zertifikat signiert, das erst vor wenigen Monaten von Systems Accounting Limited mit Sitz in Großbritannien ausgestellt wurde.
Das Installationsprogramm fordert den Benutzer auf, eine Software namens "Adobe PDF Component" zu installieren. Wenn die Erlaubnis erteilt wird, wird die BazarBackdoor-Malware heruntergeladen und in Sekunden auf dem System gestartet.
BazarBackdoor kommuniziert wie BazarLoader über HTTPS, unterscheidet sich jedoch davon durch die große Menge an verrauschtem Datenverkehr, den die Backdoor erzeugt. BazarBackdoor ist dafür bekannt, Systemdaten abzufangen. Es wird auch angenommen, dass es mit der Installation von Trickbot und der Ryuk-Ransomware zusammenhängt.
Weitere Details finden Sie auf der offizieller Sophos-Blog.
