AppInstaller.exe в Windows 10 используется для распространения BazarBackdoor

2021-11-12 3932 комментарии
В новой фишинговой кампании по распространению вредоносного ПО BazarBackdoor используется функция установки приложений в Windows 10 – AppInstaller.exe

В четверг, 11 ноября 2021 года, исследователи из Sophos Labs сообщили об обнаружении подозрительных писем, которые были созданы с использованием приемов социальной инженерии. Интересно, что электронные письма были направлены сотрудникам лаборатории.

В одном из сообщений, отправленным якобы «помощником главного руководителя Sophos», вымышленный «Адам Уильямс» интересовался, почему исследователь не ответил на жалобу клиента. Для большей убедительности письмо содержало ссылку на сообщение в формате PDF.

Тем не менее, ссылка оказалась вредоносной, и использовалась для распространения вредоносного ПО BazarBackdoor.

Исследователи Sophos заявляют, что в атаке используется новый метод распространения вредоносной нагрузки, в котором задействован процесс установки приложений Windows 10.

Работает это следующим образом: фишинговая приманка направляет потенциальных жертв на веб-сайт, который использует бренд Adobe, и просит пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс ms-appinstaller:.

Исследователь Sophos Эндрю Брандт (Andrew Brandt) пояснил:

В ходе реального заражения при клике по URL-адресу запускается браузер, который вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска содержимого, доступного по ссылке.

В свою очередь, вредоносная ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера, размещенный по отдельному URL-адресу, Adobe_1.7.0.0_x64appbundle.

Затем появляется предупреждение, а также уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. (Sophos уже уведомил центр сертификации о злоупотреблении).

Затем у жертв запрашивается разрешение установить «Adobe PDF Component». Если пользователь предоставит такое разрешение, то BazarBackdoor будет развернут и запущен в системе в считанные секунды.

BazarBackdoor, как и BazarLoader, обменивается данными по протоколу HTTPS, но отличается от него большим количеством генерируемого шумного трафика. Известно, что BazarBackdoor может извлекать системные данные и связан с Trickbot и программой-вымогателем Ryuk.

Брандт также отметил:

Вредоносные программы, входящие в комплекты установщиков приложений, обычно не используются в атаках. К сожалению, теперь, когда процесс был продемонстрирован, он, вероятно, вызовет более широкий интерес. Компании, занимающиеся безопасностью, и поставщики программного обеспечения должны предусмотреть механизмы защиты, чтобы обнаруживать и блокировать подобные атаки и не позволять злоумышленникам злоупотреблять цифровыми сертификатами.

© . По материалам ZDNet

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?