Το κακόβουλο λογισμικό BazarBackdoor χρησιμοποιεί εγκατάσταση παρόμοια με το Microsoft Store για να εισέλθει στα Windows
Οι εισβολείς χρησιμοποιούν το AppInstaller.exe στα Windows για τη διανομή του κακόβουλου λογισμικού BazarBackdoor. Αυτό έχει βρεθεί από το Cybersecurity ερευνητές στο Sophos Labs. Μια νέα επίθεση phishing χρησιμοποιείται για τη διάδοση του κακόβουλου λογισμικού.
Είναι ενδιαφέρον ότι οι ίδιοι οι εργαζόμενοι της Sophos Labs ήταν στόχοι της επίθεσης ανεπιθύμητης αλληλογραφίας.
Πηγές εικόνας: Sophos Labs
Σε ένα από τα μηνύματα ηλεκτρονικού ταχυδρομείου που φέρεται να έστειλε ένας «Κύριος Διευθυντής της Sophos», ο Άνταμ Γουίλιαμς, ο οποίος στην πραγματικότητα δεν υπάρχει. "Αυτός" αναρωτήθηκε γιατί ο ερευνητής δεν είχε απαντήσει στο παράπονο ενός πελάτη.
Το email περιλάμβανε έναν σύνδεσμο προς ένα μήνυμα PDF που αποκάλυψε μια νέα μέθοδο διανομής κακόβουλου λογισμικού. Περιλαμβάνει το Microsoft App Installer που χρησιμοποιείται από την εφαρμογή Store στα Windows 10 και Windows 11.
Η διεύθυνση URL ξεκινά με το ms-appinstaller:// πρωτόκολλο. Κάνοντας κλικ στη σύνδεση θα ξεκινήσει το προεπιλεγμένο πρόγραμμα περιήγησης, ας πούμε Microsoft Edge, το οποίο στη συνέχεια θα εκκινήσει το λογισμικό AppInstaller.exe που χρησιμοποιείται από το Microsoft Store για την εγκατάσταση εφαρμογών.
Ο σύνδεσμος οδηγεί σε ένα αρχείο κειμένου που ονομάζεται Adobe.appinstaller, το οποίο περιέχει τις οδηγίες λήψης και εγκατάστασης ενός αρχείου που ονομάζεται Adobe_1.7.0.0_x64.appbundle. Το λογισμικό υπογράφεται με πιστοποιητικό που εκδόθηκε μόλις πριν από λίγους μήνες, από την Systems Accounting Limited, με έδρα το Ηνωμένο Βασίλειο.
Το πρόγραμμα εγκατάστασης θα ζητήσει από τον χρήστη να εγκαταστήσει ένα λογισμικό που ονομάζεται "Adobe PDF Component". Εάν χορηγηθεί άδεια, το κακόβουλο λογισμικό BazarBackdoor θα γίνει λήψη και εκκίνηση στο σύστημα σε δευτερόλεπτα.
Το BazarBackdoor, όπως και το BazarLoader, επικοινωνεί μέσω HTTPS, αλλά διαφέρει από αυτό στο μεγάλο όγκο θορυβώδους κίνησης που δημιουργεί η κερκόπορτα. Το BazarBackdoor είναι γνωστό ότι παρακολουθεί δεδομένα συστήματος. Πιστεύεται επίσης ότι σχετίζεται με την εγκατάσταση του Trickbot και του Ryuk ransomware.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στο επίσημο ιστολόγιο Sophos.