Windows Tips & News

Zlonamerna programska oprema BazarBackdoor uporablja namestitev, podobno Microsoft Store, za vstop v Windows

Napadalci uporabljajo AppInstaller.exe v sistemu Windows za distribucijo zlonamerne programske opreme BazarBackdoor. To je ugotovila kibernetska varnost raziskovalci v laboratorijih Sophos. Za širjenje zlonamerne programske opreme se uporablja nov napad z lažnim predstavljanjem.

Zanimivo je, da so bili zaposleni v laboratorijih Sophos sami tarče napada neželene e-pošte.

Zasluge za slike: Sophos Labs

V enem od e-poštnih sporočil, ki naj bi jih poslal "glavni upravitelj Sophosa" Adam Williams, ki dejansko ne obstaja. "On" se je spraševal, zakaj raziskovalec ni odgovoril na pritožbo stranke.

E-poštno sporočilo je vsebovalo povezavo do sporočila PDF, ki je razkrilo nov način distribucije zlonamerne programske opreme. Vključuje namestitveni program Microsoft App Installer, ki ga uporablja aplikacija Store v operacijskih sistemih Windows 10 in Windows 11.

URL se začne z ms-appinstaller:// protokol. S klikom na povezavo se bo zagnal privzeti brskalnik, recimo Microsoft Edge, ki bo nato zagnal programsko opremo AppInstaller.exe, ki jo uporablja Microsoft Store za namestitev aplikacij.

Povezava kaže na besedilno datoteko z imenom Adobe.appinstaller, ki vsebuje navodila za prenos in namestitev datoteke z imenom Adobe_1.7.0.0_x64.appbundle. Programska oprema je podpisana s potrdilom, ki ga je pred nekaj meseci izdal Systems Accounting Limited s sedežem v Združenem kraljestvu.

Namestitveni program bo uporabnika pozval, naj namesti programsko opremo, imenovano "Adobe PDF Component". Če je dovoljenje odobreno, bo zlonamerna programska oprema BazarBackdoor prenesena in zagnana v sistemu v nekaj sekundah.

BazarBackdoor, tako kot BazarLoader, komunicira prek HTTPS, vendar se od njega razlikuje po veliki količini hrupnega prometa, ki ga ustvari backdoor. Znano je, da BazarBackdoor prestreže sistemske podatke. Verjame se tudi, da je povezan z namestitvijo Trickbota in odkupovalne programske opreme Ryuk.

Več podrobnosti najdete na uradni blog Sophos.

Windows 10 Build 18219 je izdan za preskok naprej

Windows 10 Build 18219 je izdan za preskok naprej

Pustite odgovorMicrosoft je danes izdal Windows 10 Build 18294 za Windows Insiders, ki so se odlo...

Preberi več

Prenesite zavihek Odstrani podrobnosti

To spletno mesto uporablja piškotke za izboljšanje vaše izkušnje med krmarjenjem po spletnem mest...

Preberi več

Windows 10 Build 18362.113 je na voljo notranjim osebam s KB4497936

Windows 10 Build 18362.113 je na voljo notranjim osebam s KB4497936

Microsoft je izdal novo kumulativno posodobitev programov Window Insider Slow, Fast in Release Pr...

Preberi več