A BazarBackdoor kártevő Microsoft Store-szerű telepítést használ a Windows rendszerbe való bejutáshoz

A támadók az AppInstaller.exe fájlt használják Windows rendszeren a BazarBackdoor kártevő terjesztésére. Ezt találta ki a Cybersecurity a Sophos Labs kutatói. Új adathalász támadást alkalmaznak a kártevő terjesztésére.

Érdekes módon maguk a Sophos Labs alkalmazottai voltak az e-mailes spamtámadás célpontjai.

Az egyik e-mailben, amelyet állítólag egy „Sophos főmenedzsere”, Adam Williams küldött, aki valójában nem is létezik. "Ő" azon tűnődött, hogy a kutató miért nem reagált egy ügyfél panaszára.

Az e-mail egy PDF-üzenetre mutató hivatkozást tartalmazott, amely egy új rosszindulatú programterjesztési módszert tárt fel. Ez magában foglalja a Microsoft App Installer alkalmazást, amelyet a Store alkalmazás Windows 10 és Windows 11 rendszerben használ.

Az URL a következővel kezdődik: ms-appinstaller:// jegyzőkönyv. A hivatkozásra kattintva elindul az alapértelmezett böngésző, mondjuk a Microsoft Edge, amely ezt követően elindítja a Microsoft Store által az alkalmazások telepítésére használt AppInstaller.exe szoftvert.

A hivatkozás egy Adobe.appinstaller nevű szövegfájlra mutat, amely az Adobe_1.7.0.0_x64.appbundle nevű fájl letöltéséhez és telepítéséhez szükséges utasításokat tartalmazza. A szoftvert az Egyesült Királyságban található Systems Accounting Limited néhány hónapja kiadott tanúsítvánnyal írta alá.

A telepítő felkéri a felhasználót, hogy telepítse az "Adobe PDF komponens" nevű szoftvert. Ha megadja az engedélyt, a BazarBackdoor kártevő másodpercek alatt letöltődik és elindul a rendszeren.

A BazarBackdoor, akárcsak a BazarLoader, HTTPS-en keresztül kommunikál, de különbözik tőle a hátsó ajtó által generált nagy mennyiségű zajos forgalomban. A BazarBackdoor köztudottan elfogja a rendszeradatokat. Feltételezhető, hogy a Trickbot és a Ryuk ransomware telepítésével is összefügg.

További részletek a hivatalos Sophos blog.