Вредоносная программа BazarBackdoor использует установку, подобную Microsoft Store, для проникновения в Windows

Злоумышленники используют AppInstaller.exe в Windows для распространения вредоносного ПО BazarBackdoor. Это было обнаружено службой кибербезопасности исследователи из Sophos Labs. Для распространения вредоносного ПО используется новая фишинговая атака.

Интересно, что сами сотрудники Sophos Labs стали жертвами спам-атаки по электронной почте.

В одном из электронных писем, якобы отправленных «главным менеджером Sophos» Адамом Уильямсом, которого на самом деле не существует. «Он» поинтересовался, почему исследователь не ответил на жалобу клиента.

В электронном письме была ссылка на сообщение в формате PDF, в котором описывался новый метод распространения вредоносного ПО. Он включает установщик приложений Microsoft, используемый приложением Store в Windows 10 и Windows 11.

URL-адрес начинается с ms-appinstaller: // протокол. При нажатии на ссылку запускается браузер по умолчанию, например Microsoft Edge, который впоследствии запускает программу AppInstaller.exe, используемую Microsoft Store для установки приложений.

Ссылка указывает на текстовый файл Adobe.appinstaller, содержащий инструкции по загрузке и установке файла Adobe_1.7.0.0_x64.appbundle. Программное обеспечение подписано сертификатом, который был выдан всего несколько месяцев назад британской компанией Systems Accounting Limited.

Программа установки предложит пользователю установить программное обеспечение под названием «Adobe PDF Component». Если разрешение предоставлено, вредоносная программа BazarBackdoor будет загружена и запущена в системе за секунды.

BazarBackdoor, как и BazarLoader, обменивается данными через HTTPS, но отличается от него большим объемом шумного трафика, который генерирует бэкдор. Известно, что BazarBackdoor перехватывает системные данные. Также считается, что это связано с установкой вымогателей Trickbot и Ryuk.

Более подробную информацию можно найти на официальный блог Sophos.