В четверг, 11 ноября 2021 года, исследователи из Sophos Labs сообщили об обнаружении подозрительных писем, которые были созданы с использованием приемов социальной инженерии. Интересно, что электронные письма были направлены сотрудникам лаборатории.
В одном из сообщений, отправленным якобы «помощником главного руководителя Sophos», вымышленный «Адам Уильямс» интересовался, почему исследователь не ответил на жалобу клиента. Для большей убедительности письмо содержало ссылку на сообщение в формате PDF.
Тем не менее, ссылка оказалась вредоносной, и использовалась для распространения вредоносного ПО BazarBackdoor.
Исследователи Sophos заявляют, что в атаке используется новый метод распространения вредоносной нагрузки, в котором задействован процесс установки приложений Windows 10.
Работает это следующим образом: фишинговая приманка направляет потенциальных жертв на веб-сайт, который использует бренд Adobe, и просит пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс ms-appinstaller:.
Исследователь Sophos Эндрю Брандт (Andrew Brandt) пояснил:
В ходе реального заражения при клике по URL-адресу запускается браузер, который вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска содержимого, доступного по ссылке.
В свою очередь, вредоносная ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера, размещенный по отдельному URL-адресу, Adobe_1.7.0.0_x64appbundle.
Затем появляется предупреждение, а также уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. (Sophos уже уведомил центр сертификации о злоупотреблении).
Затем у жертв запрашивается разрешение установить «Adobe PDF Component». Если пользователь предоставит такое разрешение, то BazarBackdoor будет развернут и запущен в системе в считанные секунды.
BazarBackdoor, как и BazarLoader, обменивается данными по протоколу HTTPS, но отличается от него большим количеством генерируемого шумного трафика. Известно, что BazarBackdoor может извлекать системные данные и связан с Trickbot и программой-вымогателем Ryuk.
Брандт также отметил:
Вредоносные программы, входящие в комплекты установщиков приложений, обычно не используются в атаках. К сожалению, теперь, когда процесс был продемонстрирован, он, вероятно, вызовет более широкий интерес. Компании, занимающиеся безопасностью, и поставщики программного обеспечения должны предусмотреть механизмы защиты, чтобы обнаруживать и блокировать подобные атаки и не позволять злоумышленникам злоупотреблять цифровыми сертификатами.
Последние статьи #Windows
• Microsoft анонсировала платную подписку на обновления безопасности для Windows 10 после 2025 года
• Как скачать и установить обновление 26002.1010 (KB5033735) для Windows 11 (Canary) вручную
• Обнаружена причина автоматической установки приложения HP Smart в Windows 10 и Windows 11
• Обновление KB5032286 (Build 22635.2841) для Windows 11, версия 23H2 (Beta)
• Обновление KB5032288 (Build 22631.2792) Preview для Windows 11, версия 23H2
• Обновление KB5032288 (Build 22621.2792) Preview для Windows 11, версия 22H2