БазарБацкдоор малвер користи инсталацију налик на Мицрософт Сторе да уђе у Виндовс

Нападачи користе АппИнсталлер.еке на Виндовс-у да дистрибуирају БазарБацкдоор малвер. То је открила Циберсецурити истраживачи у Сопхос Лабс. Нови пхисхинг напад се користи за ширење малвера.

Занимљиво је да су и сами запослени у Сопхос Лабс били мете напада нежељене е-поште.

У једној од порука е-поште коју је наводно послао „главни менаџер Софоса“, Адам Вилијамс, који заправо не постоји. „Он“ се питао зашто истраживач није одговорио на притужбу клијента.

Е-пошта је укључивала везу до ПДФ поруке која је открила нови метод дистрибуције злонамерног софтвера. Укључује Мицрософт Апп Инсталлер који користи апликација Сторе у Виндовс 10 и Виндовс 11.

УРЛ почиње са мс-аппинсталлер:// протокола. Кликом на везу покренуће се подразумевани претраживач, рецимо Мицрософт Едге, који ће касније покренути софтвер АппИнсталлер.еке који користи Мицрософт Сторе за инсталирање апликација.

Веза упућује на текстуалну датотеку под називом Адобе.аппинсталлер, која садржи упутства за преузимање и инсталирање датотеке под називом Адобе_1.7.0.0_к64.аппбундле. Софтвер је потписан сертификатом који је пре само неколико месеци издао Системс Аццоунтинг Лимитед, са седиштем у УК.

Инсталатер ће затражити од корисника да инсталира софтвер под називом "Адобе ПДФ Цомпонент". Ако се дозвола одобри, малвер БазарБацкдоор ће бити преузет и покренут на систему за неколико секунди.

БазарБацкдоор, као и БазарЛоадер, комуницира преко ХТТПС-а, али се разликује од њега по великој количини бучног саобраћаја који бацкдоор генерише. Познато је да БазарБацкдоор пресреће системске податке. Такође се верује да је повезан са инсталацијом Трицкбота и Риук рансомваре-а.

Више детаља можете пронаћи на званични Сопхос блог.