BazarBackdoor მავნე პროგრამა იყენებს Microsoft Store-ის მსგავს ინსტალაციას Windows-ში შესასვლელად
თავდამსხმელები იყენებენ AppInstaller.exe-ს Windows-ზე BazarBackdoor მავნე პროგრამის გასავრცელებლად. ეს კიბერუსაფრთხოების მიერ იქნა ნაპოვნი Sophos Labs-ის მკვლევარები. ახალი ფიშინგის შეტევა გამოიყენება მავნე პროგრამის გასავრცელებლად.
საინტერესოა, რომ Sophos Labs-ის თანამშრომლები თავად იყვნენ ელ.ფოსტის სპამის შეტევის სამიზნე.
სურათის კრედიტები: Sophos Labs
ერთ-ერთ ელფოსტაში, რომელიც სავარაუდოდ გამოგზავნილია "Sophos-ის მთავარი მენეჯერის", ადამ უილიამსის მიერ, რომელიც რეალურად არ არსებობს. „მას“ გაუკვირდა, რატომ არ უპასუხა მკვლევარმა კლიენტის საჩივარს.
ელფოსტა მოიცავდა PDF შეტყობინების ბმულს, რომელიც გამოავლინა მავნე პროგრამების გავრცელების ახალი მეთოდი. ის მოიცავს Microsoft App Installer-ს, რომელსაც იყენებს Store აპი Windows 10-სა და Windows 11-ში.
URL იწყება ms-appinstaller:// ოქმი. ბმულზე დაწკაპუნებით დაიწყება ნაგულისხმევი ბრაუზერი, ვთქვათ Microsoft Edge, რომელიც შემდგომში გამოუშვებს AppInstaller.exe პროგრამულ უზრუნველყოფას, რომელსაც იყენებს Microsoft Store აპლიკაციების დასაინსტალირებლად.
ბმული მიუთითებს ტექსტურ ფაილზე სახელად Adobe.appinstaller, რომელიც შეიცავს ინსტრუქციებს ფაილის ჩამოტვირთვისა და ინსტალაციისთვის სახელწოდებით Adobe_1.7.0.0_x64.appbundle. პროგრამული უზრუნველყოფა გაფორმებულია სერთიფიკატით, რომელიც გაცემულია სულ რამდენიმე თვის წინ, Systems Accounting Limited-ის მიერ, რომელიც მდებარეობს დიდ ბრიტანეთში.
ინსტალერი მოუწოდებს მომხმარებელს დააინსტალიროს პროგრამა სახელწოდებით "Adobe PDF Component". თუ ნებართვა მინიჭებული იქნება, BazarBackdoor მავნე პროგრამა ჩამოიტვირთება და ამოქმედდება სისტემაში წამებში.
BazarBackdoor, ისევე როგორც BazarLoader, ურთიერთობს HTTPS-ის საშუალებით, მაგრამ განსხვავდება მისგან დიდი რაოდენობით ხმაურიანი ტრაფიკით, რომელსაც backdoor ქმნის. ცნობილია, რომ BazarBackdoor წყვეტს სისტემის მონაცემებს. ითვლება, რომ ის ასევე დაკავშირებულია Trickbot-ისა და Ryuk გამოსასყიდის ინსტალაციასთან.
დამატებითი დეტალები შეგიძლიათ იხილოთ საიტზე Sophos-ის ოფიციალური ბლოგი.
