Ļaunprātīga programmatūra BazarBackdoor izmanto Microsoft Store līdzīgu instalāciju, lai iekļūtu sistēmā Windows

Uzbrucēji izmanto AppInstaller.exe operētājsistēmā Windows, lai izplatītu BazarBackdoor ļaunprātīgu programmatūru. To ir atklājusi kiberdrošība Sophos Labs pētnieki. Ļaunprātīgas programmatūras izplatīšanai tiek izmantots jauns pikšķerēšanas uzbrukums.

Interesanti, ka paši Sophos Labs darbinieki bija e-pasta surogātpasta uzbrukuma mērķi.

Vienā no e-pasta ziņojumiem, ko it kā nosūtījis “Sofos galvenais vadītājs” Ādams Viljamss, kurš patiesībā neeksistē. "Viņš" brīnījās, kāpēc pētnieks nav atbildējis uz klienta sūdzību.

E-pastā bija saite uz PDF ziņojumu, kurā tika atklāta jauna ļaunprātīgas programmatūras izplatīšanas metode. Tas ietver Microsoft App Installer, ko izmanto veikala lietotne operētājsistēmās Windows 10 un Windows 11.

URL sākas ar ms-appinstaller:// protokols. Noklikšķinot uz saites, tiks palaists noklusējuma pārlūks, piemēram, Microsoft Edge, kas pēc tam palaiž programmu AppInstaller.exe, ko Microsoft Store izmanto lietojumprogrammu instalēšanai.

Saite norāda uz teksta failu Adobe.appinstaller, kurā ir norādījumi par faila Adobe_1.7.0.0_x64.appbundle lejupielādi un instalēšanu. Programmatūra ir parakstīta ar sertifikātu, ko tikai pirms dažiem mēnešiem izdeva Systems Accounting Limited, kas atrodas Apvienotajā Karalistē.

Instalēšanas programma liks lietotājam instalēt programmatūru ar nosaukumu "Adobe PDF komponents". Ja tiek piešķirta atļauja, BazarBackdoor ļaunprogrammatūra tiks lejupielādēta un palaista sistēmā dažu sekunžu laikā.

BazarBackdoor, tāpat kā BazarLoader, sazinās, izmantojot HTTPS, taču atšķiras no tā ar lielu trokšņainās trafika apjomu, ko ģenerē aizmugures durvis. Ir zināms, ka BazarBackdoor pārtver sistēmas datus. Tiek uzskatīts, ka tas ir saistīts arī ar Trickbot un Ryuk ransomware instalēšanu.

Sīkāku informāciju var atrast vietnē oficiālais Sophos emuārs.