Malware BazarBackdoor menggunakan instalasi mirip Microsoft Store untuk masuk ke Windows

Penyerang menggunakan AppInstaller.exe di Windows untuk mendistribusikan malware BazarBackdoor. Itu telah ditemukan oleh Cybersecurity peneliti di Sophos Labs. Serangan phishing baru sedang digunakan untuk menyebarkan malware.

Menariknya, karyawan Sophos Labs sendiri menjadi sasaran serangan spam email.

Dalam salah satu pesan email yang diduga dikirim oleh "Manajer Utama Sophos", Adam Williams, yang sebenarnya tidak ada. "Dia" bertanya-tanya mengapa peneliti tidak menanggapi keluhan klien.

Email tersebut menyertakan tautan ke pesan PDF yang mengungkapkan metode distribusi malware baru. Ini melibatkan Penginstal Aplikasi Microsoft yang digunakan oleh aplikasi Store di Windows 10 dan Windows 11.

URL dimulai dengan ms-pemasang aplikasi:// protokol. Mengklik tautan akan meluncurkan browser default, misalnya Microsoft Edge, yang selanjutnya akan meluncurkan perangkat lunak AppInstaller.exe yang digunakan oleh Microsoft Store untuk menginstal aplikasi.

Tautan mengarah ke file teks bernama Adobe.appinstaller, yang berisi petunjuk untuk mengunduh dan menginstal file bernama Adobe_1.7.0.0_x64.appbundle. Perangkat lunak ini ditandatangani dengan sertifikat yang dikeluarkan beberapa bulan lalu, oleh Systems Accounting Limited, yang berbasis di Inggris.

Penginstal akan meminta pengguna untuk menginstal perangkat lunak yang disebut "Adobe PDF Component". Jika izin diberikan, malware BazarBackdoor akan diunduh dan diluncurkan pada sistem dalam hitungan detik.

BazarBackdoor, seperti BazarLoader, berkomunikasi melalui HTTPS, tetapi berbeda dari itu dalam jumlah besar lalu lintas bising yang dihasilkan oleh pintu belakang. BazarBackdoor diketahui mencegat data sistem. Hal ini juga diyakini terkait dengan pemasangan Trickbot dan ransomware Ryuk.

Selengkapnya bisa dilihat di blog resmi Sophos.