Złośliwe oprogramowanie BazarBackdoor wykorzystuje instalację podobną do Microsoft Store, aby dostać się do systemu Windows
Atakujący używają AppInstaller.exe w systemie Windows do rozpowszechniania złośliwego oprogramowania BazarBackdoor. To zostało znalezione przez Cyberbezpieczeństwo badacze z Sophos Labs. Do rozprzestrzeniania złośliwego oprogramowania wykorzystywany jest nowy atak phishingowy.
Co ciekawe, sami pracownicy Sophos Labs byli celem ataku spamowego e-mail.
Kredyty obrazkowe: Sophos Labs
W jednej z wiadomości e-mail rzekomo wysłanych przez „głównego menedżera Sophos”, Adama Williamsa, który w rzeczywistości nie istnieje. „On” zastanawiał się, dlaczego badacz nie odpowiedział na skargę klienta.
Wiadomość e-mail zawierała łącze do wiadomości PDF, która ujawniała nową metodę dystrybucji złośliwego oprogramowania. Obejmuje instalator aplikacji Microsoft używany przez aplikację Sklep w systemie Windows 10 i Windows 11.
Adres URL zaczyna się od ms-instalatoraplikacji:// protokół. Kliknięcie linku uruchomi domyślną przeglądarkę, powiedzmy Microsoft Edge, która następnie uruchomi oprogramowanie AppInstaller.exe używane przez Microsoft Store do instalowania aplikacji.
Łącze wskazuje na plik tekstowy o nazwie Adobe.appinstaller, który zawiera instrukcje dotyczące pobierania i instalowania pliku o nazwie Adobe_1.7.0.0_x64.appbundle. Oprogramowanie jest podpisane certyfikatem wydanym zaledwie kilka miesięcy temu przez firmę Systems Accounting Limited z siedzibą w Wielkiej Brytanii.
Instalator poprosi użytkownika o zainstalowanie oprogramowania o nazwie „Adobe PDF Component”. Jeśli zezwolenie zostanie udzielone, złośliwe oprogramowanie BazarBackdoor zostanie pobrane i uruchomione w systemie w ciągu kilku sekund.
BazarBackdoor, podobnie jak BazarLoader, komunikuje się przez HTTPS, ale różni się od niego dużą ilością zaszumionego ruchu, który generuje backdoor. BazarBackdoor jest znany z przechwytywania danych systemowych. Uważa się również, że jest to związane z instalacją oprogramowania Trickbot i ransomware Ryuk.
Więcej szczegółów można znaleźć na oficjalny blog Sophos.
