В четверг, 11 ноября 2021 года, исследователи из Sophos Labs сообщили об обнаружении подозрительных писем, которые были созданы с использованием приемов социальной инженерии. Интересно, что электронные письма были направлены сотрудникам лаборатории.
В одном из сообщений, отправленным якобы «помощником главного руководителя Sophos», вымышленный «Адам Уильямс» интересовался, почему исследователь не ответил на жалобу клиента. Для большей убедительности письмо содержало ссылку на сообщение в формате PDF.
Тем не менее, ссылка оказалась вредоносной, и использовалась для распространения вредоносного ПО BazarBackdoor.
Исследователи Sophos заявляют, что в атаке используется новый метод распространения вредоносной нагрузки, в котором задействован процесс установки приложений Windows 10.
Работает это следующим образом: фишинговая приманка направляет потенциальных жертв на веб-сайт, который использует бренд Adobe, и просит пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс ms-appinstaller:.
Исследователь Sophos Эндрю Брандт (Andrew Brandt) пояснил:
В ходе реального заражения при клике по URL-адресу запускается браузер, который вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска содержимого, доступного по ссылке.
В свою очередь, вредоносная ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера, размещенный по отдельному URL-адресу, Adobe_1.7.0.0_x64appbundle.
Затем появляется предупреждение, а также уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. (Sophos уже уведомил центр сертификации о злоупотреблении).
Затем у жертв запрашивается разрешение установить «Adobe PDF Component». Если пользователь предоставит такое разрешение, то BazarBackdoor будет развернут и запущен в системе в считанные секунды.
BazarBackdoor, как и BazarLoader, обменивается данными по протоколу HTTPS, но отличается от него большим количеством генерируемого шумного трафика. Известно, что BazarBackdoor может извлекать системные данные и связан с Trickbot и программой-вымогателем Ryuk.
Брандт также отметил:
Вредоносные программы, входящие в комплекты установщиков приложений, обычно не используются в атаках. К сожалению, теперь, когда процесс был продемонстрирован, он, вероятно, вызовет более широкий интерес. Компании, занимающиеся безопасностью, и поставщики программного обеспечения должны предусмотреть механизмы защиты, чтобы обнаруживать и блокировать подобные атаки и не позволять злоумышленникам злоупотреблять цифровыми сертификатами.
Последние статьи #Windows
• Microsoft продолжает перенос настроек из Панели управления в приложение «Параметры» в Windows 11
• Microsoft выпустила Recall, функцию Click to Do и умный поиск на основе ИИ для Copilot+ ПК – доступно в KB5055627 для Windows 11, версия 24H2
• Microsoft устраняет баг с перегрузкой процессора при наборе писем в Outlook
• Обновление KB5055632 (Build 26200.5570) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055634 (Build 26120.3941) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055627 (Build 26100.3915) Preview для Windows 11, версия 24H2