BazarBackdoor-haittaohjelma käyttää Microsoft Storen kaltaista asennusta päästäkseen Windowsiin
Hyökkääjät käyttävät AppInstaller.exe-tiedostoa Windowsissa BazarBackdoor-haittaohjelman levittämiseen. Tämän on havainnut kyberturvallisuus tutkijat Sophos Labsissa. Haittaohjelman levittämiseen käytetään uutta tietojenkalasteluhyökkäystä.
Mielenkiintoista on, että Sophos Labsin työntekijät itse joutuivat sähköpostiroskapostihyökkäyksen kohteeksi.
Kuvat: Sophos Labs
Yhdessä sähköpostiviestissä, jonka väitetään lähettäneen "Sofoksen pääjohtaja", Adam Williams, jota ei todellisuudessa ole olemassa. "Hän" ihmetteli, miksi tutkija ei ollut vastannut asiakkaan valitukseen.
Sähköpostissa oli linkki PDF-viestiin, joka paljasti uuden haittaohjelmien levitystavan. Se sisältää Microsoft App Installer -sovelluksen, jota Store-sovellus käyttää Windows 10:ssä ja Windows 11:ssä.
URL-osoite alkaa ms-appinstaller:// protokollaa. Linkin napsauttaminen käynnistää oletusselaimen, esimerkiksi Microsoft Edgen, joka käynnistää myöhemmin AppInstaller.exe-ohjelmiston, jota Microsoft Store käyttää sovellusten asentamiseen.
Linkki osoittaa tekstitiedostoon nimeltä Adobe.appinstaller, joka sisältää ohjeet Adobe_1.7.0.0_x64.appbundle-nimisen tiedoston lataamiseen ja asentamiseen. Ohjelmisto on allekirjoitettu sertifikaatilla, jonka Iso-Britanniassa sijaitseva Systems Accounting Limited myönsi vain muutama kuukausi sitten.
Asennusohjelma kehottaa käyttäjää asentamaan ohjelmiston nimeltä "Adobe PDF Component". Jos lupa myönnetään, BazarBackdoor-haittaohjelma ladataan ja käynnistetään järjestelmään sekunneissa.
BazarBackdoor, kuten BazarLoader, kommunikoi HTTPS: n kautta, mutta eroaa siitä takaoven tuottaman suuren meluisan liikenteen määrässä. BazarBackdoorin tiedetään sieppaavan järjestelmätietoja. Sen uskotaan myös liittyvän Trickbotin ja Ryuk ransomwaren asennukseen.
Lisätietoja löytyy osoitteesta virallinen Sophos-blogi.
