Zlonamerna programska oprema BazarBackdoor uporablja namestitev, podobno Microsoft Store, za vstop v Windows

Napadalci uporabljajo AppInstaller.exe v sistemu Windows za distribucijo zlonamerne programske opreme BazarBackdoor. To je ugotovila kibernetska varnost raziskovalci v laboratorijih Sophos. Za širjenje zlonamerne programske opreme se uporablja nov napad z lažnim predstavljanjem.

Zanimivo je, da so bili zaposleni v laboratorijih Sophos sami tarče napada neželene e-pošte.

V enem od e-poštnih sporočil, ki naj bi jih poslal "glavni upravitelj Sophosa" Adam Williams, ki dejansko ne obstaja. "On" se je spraševal, zakaj raziskovalec ni odgovoril na pritožbo stranke.

E-poštno sporočilo je vsebovalo povezavo do sporočila PDF, ki je razkrilo nov način distribucije zlonamerne programske opreme. Vključuje namestitveni program Microsoft App Installer, ki ga uporablja aplikacija Store v operacijskih sistemih Windows 10 in Windows 11.

URL se začne z ms-appinstaller:// protokol. S klikom na povezavo se bo zagnal privzeti brskalnik, recimo Microsoft Edge, ki bo nato zagnal programsko opremo AppInstaller.exe, ki jo uporablja Microsoft Store za namestitev aplikacij.

Povezava kaže na besedilno datoteko z imenom Adobe.appinstaller, ki vsebuje navodila za prenos in namestitev datoteke z imenom Adobe_1.7.0.0_x64.appbundle. Programska oprema je podpisana s potrdilom, ki ga je pred nekaj meseci izdal Systems Accounting Limited s sedežem v Združenem kraljestvu.

Namestitveni program bo uporabnika pozval, naj namesti programsko opremo, imenovano "Adobe PDF Component". Če je dovoljenje odobreno, bo zlonamerna programska oprema BazarBackdoor prenesena in zagnana v sistemu v nekaj sekundah.

BazarBackdoor, tako kot BazarLoader, komunicira prek HTTPS, vendar se od njega razlikuje po veliki količini hrupnega prometa, ki ga ustvari backdoor. Znano je, da BazarBackdoor prestreže sistemske podatke. Verjame se tudi, da je povezan z namestitvijo Trickbota in odkupovalne programske opreme Ryuk.

Več podrobnosti najdete na uradni blog Sophos.