BazarBackdoor-malware gebruikt Microsoft Store-achtige installatie om in Windows te komen
Aanvallers gebruiken AppInstaller.exe op Windows om de BazarBackdoor-malware te verspreiden. Dat is gevonden door Cybersecurity onderzoekers van Sophos Labs. Er wordt een nieuwe phishing-aanval gebruikt om de malware te verspreiden.
Interessant is dat de medewerkers van Sophos Labs zelf het doelwit waren van de e-mailspamaanval.
Afbeeldingscredits: Sophos Labs
In een van de e-mailberichten die naar verluidt zijn verzonden door een "Sophos Main Manager", Adam Williams, die niet echt bestaat. "Hij" vroeg zich af waarom de onderzoeker niet had gereageerd op de klacht van een cliënt.
De e-mail bevatte een link naar een pdf-bericht waarin een nieuwe methode voor het verspreiden van malware werd onthuld. Het gaat om de Microsoft App Installer die wordt gebruikt door de Store-app in Windows 10 en Windows 11.
De URL begint met de ms-appinstaller:// protocol. Als u op de link klikt, wordt de standaardbrowser gestart, bijvoorbeeld Microsoft Edge, die vervolgens de AppInstaller.exe-software start die door de Microsoft Store wordt gebruikt om applicaties te installeren.
De link verwijst naar een tekstbestand met de naam Adobe.appinstaller, dat de instructies bevat voor het downloaden en installeren van een bestand met de naam Adobe_1.7.0.0_x64.appbundle. De software is ondertekend met een certificaat dat slechts een paar maanden geleden is uitgegeven door Systems Accounting Limited, gevestigd in het VK.
Het installatieprogramma zal de gebruiker vragen om software genaamd "Adobe PDF Component" te installeren. Als toestemming wordt verleend, wordt de BazarBackdoor-malware binnen enkele seconden gedownload en op het systeem gelanceerd.
BazarBackdoor communiceert net als BazarLoader via HTTPS, maar onderscheidt zich door de grote hoeveelheid lawaaierig verkeer dat de backdoor genereert. Het is bekend dat BazarBackdoor systeemgegevens onderschept. Er wordt ook aangenomen dat het verband houdt met de installatie van Trickbot en de Ryuk-ransomware.
Meer details zijn te vinden op de officiële Sophos-blog.
