BazarBackdoor malware bruker Microsoft Store-lignende installasjon for å komme inn i Windows

Angripere bruker AppInstaller.exe på Windows for å distribuere BazarBackdoor malware. Det har Cybersecurity funnet forskere ved Sophos Labs. Et nytt phishing-angrep brukes for å spre skadelig programvare.

Interessant nok var Sophos Labs-ansatte selv mål for spam-angrepet.

I en av e-postmeldingene angivelig sendt av en "Sophos Main Manager," Adam Williams, som faktisk ikke eksisterer. «Han» lurte på hvorfor forskeren ikke hadde svart på en klients klage.

E-posten inkluderte en lenke til en PDF-melding som avslørte en ny distribusjonsmetode for skadelig programvare. Det involverer Microsoft App Installer som brukes av Store-appen i Windows 10 og Windows 11.

URL-en begynner med ms-appinstaller:// protokoll. Ved å klikke på lenken vil standardnettleseren startes, si Microsoft Edge, som deretter vil starte AppInstaller.exe-programvaren som brukes av Microsoft Store for å installere applikasjoner.

Koblingen peker til en tekstfil kalt Adobe.appinstaller, som inneholder instruksjonene for å laste ned og installere en fil kalt Adobe_1.7.0.0_x64.appbundle. Programvaren er signert med et sertifikat som ble utstedt for bare noen måneder siden, av Systems Accounting Limited, basert i Storbritannia.

Installasjonsprogrammet vil be brukeren om å installere en programvare kalt "Adobe PDF Component". Hvis tillatelse gis, vil BazarBackdoor malware bli lastet ned og lansert på systemet i løpet av sekunder.

BazarBackdoor, i likhet med BazarLoader, kommuniserer over HTTPS, men skiller seg fra det i den store mengden støyende trafikk som bakdøren genererer. BazarBackdoor er kjent for å fange opp systemdata. Det antas også å være relatert til installasjonen av Trickbot og Ryuk løsepengeprogramvare.

Flere detaljer finner du på offisiell Sophos-blogg.