Le malware BazarBackdoor utilise une installation de type Microsoft Store pour entrer dans Windows
Les attaquants utilisent AppInstaller.exe sur Windows pour distribuer le malware BazarBackdoor. Cela a été trouvé par Cybersecurity chercheurs des Sophos Labs. Une nouvelle attaque de phishing est utilisée pour diffuser le malware.
Fait intéressant, les employés des Sophos Labs eux-mêmes ont été la cible de l'attaque de courrier indésirable.
Crédits image: Sophos Labs
Dans l'un des e-mails prétendument envoyés par un « responsable principal de Sophos », Adam Williams, qui n'existe pas réellement. « Il » s'est demandé pourquoi le chercheur n'avait pas répondu à la plainte d'un client.
L'e-mail comprenait un lien vers un message PDF qui révélait une nouvelle méthode de distribution de logiciels malveillants. Cela implique le programme d'installation d'applications Microsoft utilisé par l'application Store dans Windows 10 et Windows 11.
L'URL commence par le ms-appinstaller:// protocole. Cliquer sur le lien lancera le navigateur par défaut, par exemple Microsoft Edge, qui lancera ensuite le logiciel AppInstaller.exe utilisé par le Microsoft Store pour installer des applications.
Le lien pointe vers un fichier texte appelé Adobe.appinstaller, qui contient les instructions pour télécharger et installer un fichier appelé Adobe_1.7.0.0_x64.appbundle. Le logiciel est signé avec un certificat délivré il y a quelques mois à peine par Systems Accounting Limited, basé au Royaume-Uni.
Le programme d'installation invitera l'utilisateur à installer un logiciel appelé « Adobe PDF Component ». Si l'autorisation est accordée, le malware BazarBackdoor sera téléchargé et lancé sur le système en quelques secondes.
BazarBackdoor, comme BazarLoader, communique via HTTPS, mais en diffère par la grande quantité de trafic bruyant que la porte dérobée génère. BazarBackdoor est connu pour intercepter les données du système. On pense également qu'il est lié à l'installation de Trickbot et du ransomware Ryuk.
Plus de détails peuvent être trouvés sur le blog officiel de Sophos.
