O malware BazarBackdoor usa uma instalação semelhante à da Microsoft Store para entrar no Windows

Os invasores usam AppInstaller.exe no Windows para distribuir o malware BazarBackdoor. Isso foi descoberto pela Cibersegurança pesquisadores da Sophos Labs. Um novo ataque de phishing está sendo usado para espalhar o malware.

Curiosamente, os próprios funcionários da Sophos Labs foram alvos do ataque de spam por e-mail.

Em uma das mensagens de e-mail supostamente enviadas por um “Gerente Principal da Sophos”, Adam Williams, que na verdade não existe. "Ele" se perguntou por que o pesquisador não respondeu à reclamação de um cliente.

O e-mail incluía um link para uma mensagem em PDF que revelava um novo método de distribuição de malware. Envolve o Microsoft App Installer usado pelo aplicativo Store no Windows 10 e no Windows 11.

O URL começa com o ms-appinstaller: // protocolo. Clicar no link iniciará o navegador padrão, digamos, Microsoft Edge, que posteriormente iniciará o software AppInstaller.exe usado pela Microsoft Store para instalar aplicativos.

O link aponta para um arquivo de texto denominado Adobe.appinstaller, que contém as instruções para baixar e instalar um arquivo denominado Adobe_1.7.0.0_x64.appbundle. O software é assinado com um certificado emitido há poucos meses pela Systems Accounting Limited, com sede no Reino Unido.

O instalador solicitará que o usuário instale um software chamado "Adobe PDF Component". Se a permissão for concedida, o malware BazarBackdoor será baixado e iniciado no sistema em segundos.

O BazarBackdoor, como o BazarLoader, se comunica por HTTPS, mas difere dele na grande quantidade de tráfego ruidoso que o backdoor gera. BazarBackdoor é conhecido por interceptar dados do sistema. Acredita-se também que esteja relacionado à instalação do Trickbot e do ransomware Ryuk.

Mais detalhes podem ser encontrados no blog oficial da Sophos.