Функцией приложения Microsoft Windows 10 злоупотребляют в рамках новой фишинг-кампании, распространяющей вредоносное ПО BazarBackdoor.
В четверг исследователи из Sophos Labs заявили, что атака была замечена после того, как фирма по кибербезопасности собственные сотрудники были нацелены на рассылку спама – но эти письма были написаны не заурядно, а с использованием хотя бы базового уровня социальной инженерии.
В одном из писем, отправленных «помощником главного менеджера Sophos», несуществующим «Адамом Уильямсом», требовалось узнать, почему исследователь не ответил на жалобу клиента. Чтобы облегчить разрешение проблемы, письмо содержало ссылку на сообщение .PDF.
Однако ссылка оказалась ловушкой и раскрыла «новый» метод, используемый для развертывания вредоносного ПО BazarBackdoor.
Sophos заявляет, что компания, по крайней мере, «незнакома» с этим методом, в котором процесс установки приложения Windows 10 используется для доставки вредоносных полезных данных.
Вот как это работает: фишинговая приманка направляет потенциальных жертв на веб-сайт, который использует бренд Adobe, и просит пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс «ms-appinstaller».
Софос
“В ходе реального заражения я понял, что такое построение URL-адреса запускает браузер [in my case, Microsoft’s Edge browser on Windows 10], чтобы вызвать инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска всего, что находится на другом конце этой ссылки, – пояснил исследователь Sophos Эндрю Брандт.
В свою очередь, эта ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на более крупный файл, размещенный по отдельному URL-адресу, Adobe_1.7.0.0_x64appbundle.
Затем появляется предупреждение, а также уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. (Sophos уведомил центр сертификации о злоупотреблении).
Затем жертв просят разрешить установку «Adobe PDF Component», и если они дадут разрешение, вредоносная программа BazarBackdoor будет развернута и запущена в считанные секунды.
BazarBackdoor, аналог BazarLoader, обменивается данными по HTTPS, но является отличительной вредоносной программой из-за большого количества шумного трафика, генерируемого бэкдором. BazarBackdoor может извлекать системные данные и был связан с Trickbot, а также возможное развертывание вымогателя Ryuk.
«Вредоносные программы, входящие в комплекты установщиков приложений, обычно не используются в атаках», – сказал Брандт. «К сожалению, теперь, когда процесс был продемонстрирован, он, вероятно, вызовет более широкий интерес. Компании, занимающиеся безопасностью, и поставщики программного обеспечения должны иметь механизмы защиты, чтобы обнаруживать и блокировать его, а также не позволять злоумышленникам злоупотреблять цифровыми сертификатами».