В фишинговых атаках BazarBackdoor используется процесс установки приложений в Windows 10

Пт 12 Ноябрь 2021 11:18

Киберпреступники злоупотребляют функцией приложения AppInstaller.exe для Windows 10 в ходе новой фишинговой кампании BazarBackdoor. По словам исследователей в области кибербезопасности из Sophos Labs, сотрудники фирмы стали жертвами спама с использованием социальной инженерии.

В одном из писем, отправленном «помощником главного менеджера Sophos», несуществующий Адам Уильямс (Adam Williams) пытался узнать, почему исследователь не ответил на жалобу клиента. Письмо также содержало ссылку на сообщение в формате PDF. Ссылка на самом деле была ловушкой и раскрыла экспертам «новый» метод, используемый для развертывания вредоносного ПО BazarBackdoor.

В ходе данной кампании преступники используют процесс установки приложений в Windows 10 для загрузки вредоносных полезных данных. Злоумышленники перенаправляют потенциальных жертв на web-сайт, использующий бренд Adobe, и просят пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс «ms-appinstaller».

«В ходе атаке я понял, что построение URL-адреса запускает браузер [в моем случае, браузер Microsoft Edge в Windows 10] и вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска, что находится на другом конце этой ссылки, — пояснил эксперт Эндрю Брандт (Andrew Brandt).

Ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера Adobe_1.7.0.0_x64appbundle, размещенный по отдельному URL-адресу.

Затем появляется уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. Жертву просят разрешить установку Adobe PDF Component, и в случае успеха вредоносная программа BazarBackdoor развертывается и запускается в считанные секунды.

BazarBackdoor является аналогом вредоносного ПО BazarLoader и обменивается данными по HTTPS-протоколу, но является отличительной вредоносной программой из-за большого количества шумного трафика, генерируемого бэкдором. BazarBackdoor может похищать системные данные и был связан с установкой Trickbot, а также с потенциальным развертыванием вымогателя Ryuk.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 252 дня 6 часов 52 минуты
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.