„BazarBackdoor“ kenkėjiška programa naudoja „Microsoft Store“ panašų diegimą, kad patektų į „Windows“.

Užpuolikai naudoja AppInstaller.exe sistemoje Windows, kad platintų BazarBackdoor kenkėjišką programą. Tai nustatė kibernetinis saugumas Sophos Labs mokslininkai. Kenkėjiškajai programai platinti naudojama nauja sukčiavimo ataka.

Įdomu tai, kad patys Sophos Labs darbuotojai buvo el. pašto šiukšlių atakos taikiniai.

Viename iš el. laiškų, kuriuos tariamai atsiuntė „Sofos pagrindinis vadovas“, Adamas Williamsas, kurio iš tikrųjų nėra. „Jis“ stebėjosi, kodėl tyrėjas neatsakė į kliento skundą.

Laiške buvo nuoroda į PDF pranešimą, kuriame buvo atskleistas naujas kenkėjiškų programų platinimo būdas. Tai apima „Microsoft App Installer“, kurią naudoja „Store“ programa „Windows 10“ ir „Windows 11“.

URL prasideda ms-appinstaller:// protokolas. Spustelėjus nuorodą, bus paleista numatytoji naršyklė, tarkime, „Microsoft Edge“, kuri vėliau paleis „AppInstaller.exe“ programinę įrangą, kurią „Microsoft Store“ naudoja programoms įdiegti.

Nuoroda nukreipia į tekstinį failą pavadinimu Adobe.appinstaller, kuriame pateikiamos instrukcijos, kaip atsisiųsti ir įdiegti failą pavadinimu Adobe_1.7.0.0_x64.appbundle. Programinė įranga pasirašyta su sertifikatu, kurį vos prieš kelis mėnesius išdavė JK įsikūrusi Systems Accounting Limited.

Diegimo programa paragins vartotoją įdiegti programinę įrangą, vadinamą „Adobe PDF komponentu“. Jei leidimas bus suteiktas, „BazarBackdoor“ kenkėjiška programa bus atsiųsta ir paleista sistemoje per kelias sekundes.

„BazarBackdoor“, kaip ir „BazarLoader“, bendrauja per HTTPS, tačiau skiriasi nuo jo dideliu triukšmingu srautu, kurį sukuria užpakalinės durys. Yra žinoma, kad „BazarBackdoor“ perima sistemos duomenis. Taip pat manoma, kad tai susiję su „Trickbot“ ir „Ryuk“ ransomware įdiegimu.

Daugiau informacijos galite rasti adresu oficialus Sophos tinklaraštis.