มัลแวร์ BazarBackdoor ใช้การติดตั้งเหมือน Microsoft Store เพื่อเข้าสู่ Windows

ผู้โจมตีใช้ AppInstaller.exe บน Windows เพื่อแจกจ่ายมัลแวร์ BazarBackdoor ที่ถูกค้นพบโดย Cybersecurity นักวิจัยที่ Sophos Labs. การโจมตีแบบฟิชชิ่งแบบใหม่กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์

ที่น่าสนใจคือ พนักงานของ Sophos Labs เองก็ตกเป็นเป้าหมายของการโจมตีอีเมลขยะ

ในข้อความอีเมลฉบับหนึ่งที่ถูกกล่าวหาว่าส่งโดย “ผู้จัดการหลักของ Sophos” อดัม วิลเลียมส์ ซึ่งไม่มีอยู่จริง “เขา” สงสัยว่าทำไมผู้วิจัยไม่ตอบสนองต่อคำร้องเรียนของลูกค้า

อีเมลดังกล่าวมีลิงก์ไปยังข้อความ PDF ที่เปิดเผยวิธีการกระจายมัลแวร์แบบใหม่ มันเกี่ยวข้องกับตัวติดตั้ง Microsoft App ที่ใช้โดยแอพ Store ใน Windows 10 และ Windows 11

URL เริ่มต้นด้วย the ms-appinstaller: // มาตรการ. การคลิกที่ลิงก์จะเป็นการเปิดเบราว์เซอร์เริ่มต้น กล่าวคือ Microsoft Edge ซึ่งจะเปิดตัวซอฟต์แวร์ AppInstaller.exe ที่ Microsoft Store ใช้เพื่อติดตั้งแอปพลิเคชันในภายหลัง

ลิงก์ชี้ไปที่ไฟล์ข้อความชื่อ Adobe.appinstaller ซึ่งมีคำแนะนำในการดาวน์โหลดและติดตั้งไฟล์ชื่อ Adobe_1.7.0.0_x64.appbundle ซอฟต์แวร์นี้ลงนามด้วยใบรับรองที่ออกเมื่อไม่กี่เดือนที่ผ่านมาโดย Systems Accounting Limited ซึ่งตั้งอยู่ในสหราชอาณาจักร

โปรแกรมติดตั้งจะแจ้งให้ผู้ใช้ติดตั้งซอฟต์แวร์ชื่อ "Adobe PDF Component" หากได้รับอนุญาต มัลแวร์ BazarBackdoor จะถูกดาวน์โหลดและเปิดใช้งานบนระบบภายในไม่กี่วินาที

BazarBackdoor เช่น BazarLoader สื่อสารผ่าน HTTPS แต่มีความแตกต่างจากการรับส่งข้อมูลที่มีเสียงดังซึ่งแบ็คดอร์สร้างขึ้น เป็นที่ทราบกันดีว่า BazarBackdoor ดักจับข้อมูลระบบ เชื่อกันว่าเกี่ยวข้องกับการติดตั้ง Trickbot และ Ryuk ransomware

สามารถดูรายละเอียดเพิ่มเติมได้ที่ บล็อกอย่างเป็นทางการของ Sophos.