Il malware BazarBackdoor utilizza l'installazione simile a Microsoft Store per entrare in Windows

Gli aggressori utilizzano AppInstaller.exe su Windows per distribuire il malware BazarBackdoor. È stato scoperto da Cybersecurity ricercatori dei Sophos Labs. Un nuovo attacco di phishing viene utilizzato per diffondere il malware.

È interessante notare che gli stessi dipendenti di Sophos Labs sono stati bersagli dell'attacco e-mail di spam.

In uno dei messaggi di posta elettronica presumibilmente inviati da un "Sophos Main Manager", Adam Williams, che in realtà non esiste. "Lui" si chiedeva perché il ricercatore non avesse risposto al reclamo di un cliente.

L'e-mail includeva un collegamento a un messaggio PDF che rivelava un nuovo metodo di distribuzione del malware. Coinvolge il programma di installazione dell'app Microsoft utilizzato dall'app Store in Windows 10 e Windows 11.

L'URL inizia con ms-appinstaller:// protocollo. Facendo clic sul collegamento verrà avviato il browser predefinito, ad esempio Microsoft Edge, che successivamente avvierà il software AppInstaller.exe utilizzato da Microsoft Store per installare le applicazioni.

Il collegamento punta a un file di testo denominato Adobe.appinstaller, che contiene le istruzioni per scaricare e installare un file denominato Adobe_1.7.0.0_x64.appbundle. Il software è firmato con un certificato emesso pochi mesi fa da Systems Accounting Limited, con sede nel Regno Unito.

Il programma di installazione chiederà all'utente di installare un software chiamato "Adobe PDF Component". Se viene concessa l'autorizzazione, il malware BazarBackdoor verrà scaricato e avviato sul sistema in pochi secondi.

BazarBackdoor, come BazarLoader, comunica su HTTPS, ma si differenzia da esso per la grande quantità di traffico rumoroso che genera la backdoor. BazarBackdoor è noto per intercettare i dati di sistema. Si ritiene inoltre che sia correlato all'installazione di Trickbot e del ransomware Ryuk.

Maggiori dettagli possono essere trovati su blog ufficiale Sophos.