Programul malware BazarBackdoor folosește o instalare similară Microsoft Store pentru a intra în Windows
Atacatorii folosesc AppInstaller.exe pe Windows pentru a distribui malware-ul BazarBackdoor. Acest lucru a fost găsit de Cybersecurity cercetători de la Sophos Labs. Un nou atac de tip phishing este folosit pentru a răspândi malware-ul.
Interesant este că angajații Sophos Labs înșiși au fost ținta atacului de spam prin e-mail.
Credite imagine: Sophos Labs
Într-unul dintre mesajele de e-mail care se presupune că au fost trimise de un „Manager principal Sophos”, Adam Williams, care de fapt nu există. „El” s-a întrebat de ce cercetătorul nu a răspuns la plângerea unui client.
E-mailul includea un link către un mesaj PDF care a dezvăluit o nouă metodă de distribuire a programelor malware. Acesta implică Microsoft App Installer utilizat de aplicația Store în Windows 10 și Windows 11.
URL-ul începe cu ms-appinstaller:// protocol. Făcând clic pe link, se va lansa browserul implicit, să spunem Microsoft Edge, care va lansa ulterior software-ul AppInstaller.exe folosit de Microsoft Store pentru a instala aplicații.
Link-ul indică un fișier text numit Adobe.appinstaller, care conține instrucțiunile pentru descărcarea și instalarea unui fișier numit Adobe_1.7.0.0_x64.appbundle. Software-ul este semnat cu un certificat care a fost eliberat cu doar câteva luni în urmă, de către Systems Accounting Limited, cu sediul în Marea Britanie.
Programul de instalare va solicita utilizatorului să instaleze un software numit „Adobe PDF Component”. Dacă se acordă permisiunea, malware-ul BazarBackdoor va fi descărcat și lansat pe sistem în câteva secunde.
BazarBackdoor, ca și BazarLoader, comunică prin HTTPS, dar diferă de acesta prin cantitatea mare de trafic zgomotos pe care o generează backdoor. BazarBackdoor este cunoscut pentru a intercepta datele sistemului. De asemenea, se crede că are legătură cu instalarea Trickbot și a ransomware-ului Ryuk.
Mai multe detalii pot fi găsite pe blogul oficial Sophos.
