15/11/21
Киберпреступники злоупотребляют функцией приложения AppInstaller.exe для Windows 10 в ходе новой фишинговой кампании BazarBackdoor. По словам исследователей в области кибербезопасности из Sophos Labs, сотрудники фирмы стали жертвами спама с использованием социальной инженерии.
В одном из писем, отправленном «помощником главного менеджера Sophos», несуществующий Адам Уильямс (Adam Williams) пытался узнать, почему исследователь не ответил на жалобу клиента. Письмо также содержало ссылку на сообщение в формате PDF. Ссылка на самом деле была ловушкой и раскрыла экспертам «новый» метод, используемый для развертывания вредоносного ПО BazarBackdoor.
В ходе данной кампании преступники используют процесс установки приложений в Windows 10 для загрузки вредоносных полезных данных. Злоумышленники перенаправляют потенциальных жертв на web-сайт, использующий бренд Adobe, и просят пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс «ms-appinstaller».
«В ходе атаке я понял, что построение URL-адреса запускает браузер [в моем случае, браузер Microsoft Edge в Windows 10] и вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска, что находится на другом конце этой ссылки, — пояснил эксперт Эндрю Брандт (Andrew Brandt).
Ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера Adobe_1.7.0.0_x64appbundle, размещенный по отдельному URL-адресу.
Затем появляется уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. Жертву просят разрешить установку Adobe PDF Component, и в случае успеха вредоносная программа BazarBackdoor развертывается и запускается в считанные секунды.
BazarBackdoor является аналогом вредоносного ПО BazarLoader и обменивается данными по HTTPS-протоколу, но является отличительной вредоносной программой из-за большого количества шумного трафика, генерируемого бэкдором. BazarBackdoor может похищать системные данные и был связан с установкой Trickbot, а также с потенциальным развертыванием вымогателя Ryuk.
