El malware BazarBackdoor utiliza una instalación similar a la de Microsoft Store para ingresar a Windows

Los atacantes utilizan AppInstaller.exe en Windows para distribuir el malware BazarBackdoor. Que ha sido encontrado por Cybersecurity investigadores de Sophos Labs. Se está utilizando un nuevo ataque de phishing para propagar el malware.

Curiosamente, los propios empleados de Sophos Labs fueron blanco del ataque de correo no deseado.

En uno de los mensajes de correo electrónico supuestamente enviados por un "director principal de Sophos", Adam Williams, que en realidad no existe. "Él" se preguntó por qué el investigador no había respondido a la queja de un cliente.

El correo electrónico incluía un enlace a un mensaje PDF que revelaba un nuevo método de distribución de malware. Implica el instalador de aplicaciones de Microsoft utilizado por la aplicación Store en Windows 10 y Windows 11.

La URL comienza con ms-appinstaller: // protocolo. Al hacer clic en el enlace, se iniciará el navegador predeterminado, por ejemplo, Microsoft Edge, que posteriormente iniciará el software AppInstaller.exe utilizado por Microsoft Store para instalar aplicaciones.

El enlace apunta a un archivo de texto llamado Adobe.appinstaller, que contiene las instrucciones para descargar e instalar un archivo llamado Adobe_1.7.0.0_x64.appbundle. El software está firmado con un certificado emitido hace unos meses por Systems Accounting Limited, con sede en el Reino Unido.

El instalador le pedirá al usuario que instale un software llamado "Adobe PDF Component". Si se otorga el permiso, el malware BazarBackdoor se descargará y ejecutará en el sistema en segundos.

BazarBackdoor, como BazarLoader, se comunica a través de HTTPS, pero se diferencia de él en la gran cantidad de tráfico ruidoso que genera la puerta trasera. Se sabe que BazarBackdoor intercepta datos del sistema. También se cree que está relacionado con la instalación de Trickbot y el ransomware Ryuk.

Se pueden encontrar más detalles en el blog oficial de Sophos.