תוכנה זדונית BazarBackdoor משתמשת בהתקנה כמו Microsoft Store כדי להיכנס ל-Windows
תוקפים משתמשים ב-AppInstaller.exe ב-Windows כדי להפיץ את התוכנה הזדונית BazarBackdoor. זה נמצא על ידי Cybersecurity חוקרים במעבדות Sophos. נעשה שימוש בהתקפת פישינג חדשה כדי להפיץ את התוכנה הזדונית.
מעניין לציין שעובדי Sophos Labs עצמם היו מטרות להתקפת דואר זבל.
קרדיט תמונה: Sophos Labs
באחת מהודעות האימייל שנשלחו לכאורה על ידי "מנהל ראשי של סופוס", אדם וויליאמס, שאינו קיים בפועל. "הוא" תהה מדוע החוקר לא הגיב לתלונה של לקוח.
המייל כלל קישור להודעת PDF שחשפה שיטת הפצה חדשה של תוכנות זדוניות. זה כולל את Microsoft App Installer המשמש את אפליקציית Store ב-Windows 10 ו-Windows 11.
כתובת האתר מתחילה ב- ms-appinstaller:// נוהל. לחיצה על הקישור תפעיל את דפדפן ברירת המחדל, נניח Microsoft Edge, שיפעיל לאחר מכן את תוכנת AppInstaller.exe המשמשת את Microsoft Store להתקנת יישומים.
הקישור מצביע על קובץ טקסט בשם Adobe.appinstaller, המכיל את ההוראות להורדה והתקנה של קובץ בשם Adobe_1.7.0.0_x64.appbundle. התוכנה חתומה עם תעודה שהונפקה רק לפני מספר חודשים, על ידי Systems Accounting Limited, שבסיסה בבריטניה.
המתקין יבקש מהמשתמש להתקין תוכנה בשם "Adobe PDF Component". אם תינתן הרשאה, התוכנה הזדונית BazarBackdoor תוריד ותופעל במערכת תוך שניות.
BazarBackdoor, כמו BazarLoader, מתקשרת באמצעות HTTPS, אך שונה ממנה בכמות הגדולה של תעבורה רועשת שהדלת האחורית מייצרת. ידוע כי BazarBackdoor מיירט נתוני מערכת. כמו כן, מאמינים שזה קשור להתקנת Trickbot ותוכנת הכופר Ryuk.
פרטים נוספים ניתן למצוא ב- הבלוג הרשמי של Sophos.