BazarBackdoor zlonamjerni softver koristi instalaciju nalik na Microsoft Store za ulazak u Windows

Napadači koriste AppInstaller.exe na Windowsima za distribuciju zlonamjernog softvera BazarBackdoor. To je otkrila Cybersecurity istraživači u Sophos Labsu. Za širenje zlonamjernog softvera koristi se novi phishing napad.

Zanimljivo je da su i sami zaposlenici Sophos Labsa bili mete napada neželjene e-pošte.

U jednoj od poruka e-pošte koju je navodno poslao “glavni upravitelj Sophosa” Adam Williams, koji zapravo ne postoji. "On" se pitao zašto istraživač nije odgovorio na pritužbu klijenta.

E-poruka je sadržavala poveznicu na PDF poruku koja je otkrila novu metodu distribucije zlonamjernog softvera. Uključuje Microsoft App Installer koji koristi aplikacija Store u sustavima Windows 10 i Windows 11.

URL počinje s ms-appinstaller:// protokol. Klikom na vezu pokrenut će se zadani preglednik, recimo Microsoft Edge, koji će naknadno pokrenuti softver AppInstaller.exe koji koristi Microsoft Store za instalaciju aplikacija.

Veza upućuje na tekstualnu datoteku pod nazivom Adobe.appinstaller, koja sadrži upute za preuzimanje i instalaciju datoteke pod nazivom Adobe_1.7.0.0_x64.appbundle. Softver je potpisan certifikatom koji je prije samo nekoliko mjeseci izdao Systems Accounting Limited, sa sjedištem u Ujedinjenom Kraljevstvu.

Instalacijski program će od korisnika tražiti da instalira softver pod nazivom "Adobe PDF Component". Ako je dopuštenje odobreno, zlonamjerni softver BazarBackdoor bit će preuzet i pokrenut na sustavu za nekoliko sekundi.

BazarBackdoor, poput BazarLoadera, komunicira preko HTTPS-a, ali se od njega razlikuje po velikoj količini bučnog prometa koji backdoor generira. Poznato je da BazarBackdoor presreće podatke sustava. Također se vjeruje da je povezan s instalacijom Trickbota i Ryuk ransomwarea.

Više detalja možete pronaći na službeni Sophos blog.