BazarBackdoor skadlig programvara använder Microsoft Store-liknande installation för att komma in i Windows
Angripare använder AppInstaller.exe på Windows för att distribuera BazarBackdoor skadlig programvara. Det har Cybersecurity hittat forskare vid Sophos Labs. En ny nätfiskeattack används för att sprida skadlig programvara.
Intressant nog var Sophos Labs anställda själva måltavlor för e-post-spammattacken.
Bildkrediter: Sophos Labs
I ett av e-postmeddelandena som påstås ha skickats av en "Sophos Main Manager", Adam Williams, som faktiskt inte existerar. "Han" undrade varför forskaren inte hade svarat på en klients klagomål.
E-postmeddelandet innehöll en länk till ett PDF-meddelande som avslöjade en ny distributionsmetod för skadlig programvara. Det involverar Microsoft App Installer som används av Store-appen i Windows 10 och Windows 11.
URL: en börjar med ms-appinstaller:// protokoll. Genom att klicka på länken startas standardwebbläsaren, säg Microsoft Edge, som sedan kommer att starta programmet AppInstaller.exe som används av Microsoft Store för att installera applikationer.
Länken pekar på en textfil som heter Adobe.appinstaller, som innehåller instruktioner för att ladda ner och installera en fil som heter Adobe_1.7.0.0_x64.appbundle. Programvaran är signerad med ett certifikat som utfärdades för bara några månader sedan av Systems Accounting Limited, baserat i Storbritannien.
Installationsprogrammet kommer att uppmana användaren att installera en programvara som heter "Adobe PDF Component". Om tillstånd beviljas kommer BazarBackdoor skadlig programvara att laddas ner och lanseras på systemet på några sekunder.
BazarBackdoor, liksom BazarLoader, kommunicerar över HTTPS, men skiljer sig från det i den stora mängden bullrig trafik som bakdörren genererar. BazarBackdoor är känt för att fånga upp systemdata. Det tros också vara relaterat till installationen av Trickbot och Ryuk ransomware.
Mer information finns på officiella Sophos blogg.
