BazarBackdoorマルウェアは、MicrosoftStoreのようなインストールを使用してWindowsに侵入します

攻撃者はWindowsでAppInstaller.exeを使用して、BazarBackdoorマルウェアを配布します。 それはCyber​​securityによって発見されました ソフォスラボの研究者. マルウェアを拡散させるために、新しいフィッシング攻撃が使用されています。

興味深いことに、SophosLabsの従業員自身が電子メールスパム攻撃の標的でした。

「ソフォスのメインマネージャー」から送信されたとされる電子メールメッセージの1つに、実際には存在しないアダムウィリアムズがいます。 「彼」は、なぜ研究者がクライアントの苦情に応じなかったのか疑問に思いました。

電子メールには、新しいマルウェア配布方法を明らかにしたPDFメッセージへのリンクが含まれていました。 これには、Windows10およびWindows11のストアアプリで使用されるMicrosoftアプリインストーラーが含まれます。

URLはで始まります ms-appinstaller：// プロトコル。 リンクをクリックすると、デフォルトのブラウザ、たとえばMicrosoft Edgeが起動し、その後、MicrosoftStoreがアプリケーションのインストールに使用するAppInstaller.exeソフトウェアが起動します。

リンクは、Adobe.appinstallerというテキストファイルを指しています。このファイルには、Adobe_1.7.0.0_x64.appbundleというファイルをダウンロードしてインストールする手順が含まれています。 このソフトウェアは、英国に拠点を置くSystems AccountingLimitedによってほんの数か月前に発行された証明書で署名されています。

インストーラーは、「AdobePDFComponent」と呼ばれるソフトウェアをインストールするようにユーザーに促します。 許可が与えられると、BazarBackdoorマルウェアがダウンロードされ、数秒でシステムに起動されます。

BazarLoaderと同様に、BazarBackdoorはHTTPSを介して通信しますが、バックドアが生成する大量のノイズの多いトラフィックが異なります。 BazarBackdoorはシステムデータを傍受することが知られています。 また、TrickbotとRyukランサムウェアのインストールに関連していると考えられています。

詳細については、 ソフォスの公式ブログ.