Malvér BazarBackdoor používa na vstup do systému Windows inštaláciu podobnú Microsoft Store

Útočníci používajú na distribúciu škodlivého softvéru BazarBackdoor v systéme Windows súbor AppInstaller.exe. To zistila kybernetická bezpečnosť výskumníci v laboratóriách Sophos. Na šírenie malvéru sa používa nový phishingový útok.

Je zaujímavé, že samotní zamestnanci Sophos Labs boli terčom e-mailového spamového útoku.

V jednej z e-mailových správ údajne odoslaných „hlavným manažérom spoločnosti Sophos“ Adam Williams, ktorý v skutočnosti neexistuje. "On" sa čudoval, prečo výskumník neodpovedal na sťažnosť klienta.

E-mail obsahoval odkaz na správu vo formáte PDF, ktorá odhalila novú metódu distribúcie škodlivého softvéru. Zahŕňa Microsoft App Installer, ktorý používa aplikácia Store vo Windows 10 a Windows 11.

Adresa URL začína znakom ms-appinstaller:// protokol. Kliknutím na odkaz sa spustí predvolený prehliadač, povedzme Microsoft Edge, ktorý následne spustí softvér AppInstaller.exe, ktorý používa Microsoft Store na inštaláciu aplikácií.

Odkaz ukazuje na textový súbor s názvom Adobe.appinstaller, ktorý obsahuje pokyny na stiahnutie a inštaláciu súboru s názvom Adobe_1.7.0.0_x64.appbundle. Softvér je podpísaný certifikátom, ktorý len pred niekoľkými mesiacmi vydala spoločnosť Systems Accounting Limited so sídlom vo Veľkej Británii.

Inštalačný program vyzve používateľa, aby si nainštaloval softvér s názvom „Adobe PDF Component“. Ak je povolenie udelené, malvér BazarBackdoor sa stiahne a spustí v systéme v priebehu niekoľkých sekúnd.

BazarBackdoor, podobne ako BazarLoader, komunikuje cez HTTPS, ale líši sa od neho veľkým množstvom hlučnej prevádzky, ktorú backdoor generuje. BazarBackdoor je známy tým, že zachytáva systémové dáta. Tiež sa predpokladá, že súvisí s inštaláciou Trickbota a ransomvéru Ryuk.

Viac podrobností nájdete na oficiálny blog Sophos.