BazarBackdoor kötü amaçlı yazılımı, Windows'a girmek için Microsoft Mağazası benzeri bir yükleme kullanır

Saldırganlar, BazarBackdoor kötü amaçlı yazılımını dağıtmak için Windows'ta AppInstaller.exe'yi kullanır. Siber Güvenlik tarafından bulundu Sophos Labs araştırmacıları. Kötü amaçlı yazılımı yaymak için yeni bir kimlik avı saldırısı kullanılıyor.

İlginç bir şekilde, Sophos Labs çalışanlarının kendileri e-posta spam saldırısının hedefiydi.

Bir “Sophos Ana Müdürü” tarafından gönderildiği iddia edilen e-posta mesajlarından birinde, gerçekte var olmayan Adam Williams. "O", araştırmacının bir müşterinin şikayetine neden yanıt vermediğini merak etti.

E-posta, yeni bir kötü amaçlı yazılım dağıtım yöntemini ortaya çıkaran bir PDF mesajının bağlantısını içeriyordu. Windows 10 ve Windows 11'de Mağaza uygulaması tarafından kullanılan Microsoft Uygulama Yükleyicisini içerir.

URL ile başlar ms-appinstaller:// protokol. Bağlantıya tıklamak varsayılan tarayıcıyı başlatacak, diyelim ki Microsoft Edge, ardından Microsoft Store tarafından uygulamaları yüklemek için kullanılan AppInstaller.exe yazılımını başlatacak.

Bağlantı, Adobe_1.7.0.0_x64.appbundle adlı bir dosyayı indirme ve yükleme talimatlarını içeren Adobe.appinstaller adlı bir metin dosyasına işaret eder. Yazılım, İngiltere merkezli Systems Accounting Limited tarafından yalnızca birkaç ay önce yayınlanan bir sertifika ile imzalanmıştır.

Yükleyici, kullanıcıdan "Adobe PDF Component" adlı bir yazılımı yüklemesini isteyecektir. İzin verilirse, BazarBackdoor kötü amaçlı yazılımı saniyeler içinde sisteme indirilir ve başlatılır.

BazarLoader gibi BazarBackdoor, HTTPS üzerinden iletişim kurar, ancak arka kapının oluşturduğu büyük miktarda gürültülü trafik nedeniyle ondan farklıdır. BazarBackdoor'un sistem verilerini ele geçirdiği bilinmektedir. Ayrıca Trickbot ve Ryuk fidye yazılımının yüklenmesiyle ilgili olduğuna inanılıyor.

Daha fazla ayrıntı şurada bulunabilir: resmi Sophos blogu.