En Microsoft Windows 10-appfunktion missbrukas i en ny nätfiskekampanj som sprider BazarBackdoor skadlig programvara.
På torsdagen sa forskare från Sophos Labs att attacken uppmärksammades efter att cybersäkerhetsföretagets egna anställda måltavlades med spam-e-postmeddelanden – men snarare än att de var vanliga, skrevs dessa e-postmeddelanden med åtminstone en grundläggande nivå av social ingenjörskonst. .
Ett av mejlen, skickat av en “Sophos Main Manager Assistant”, den obefintliga “Adam Williams”, krävde att få veta varför en forskare inte hade svarat på en kunds klagomål. För att underlätta upplösningen innehöll e-postmeddelandet en .PDF-länk till meddelandet.
Länken var dock en fälla och avslöjade en “ny” teknik som användes för att distribuera BazarBackdoor skadlig programvara.
Sophos säger att företaget åtminstone är “obekant” med denna metod, där Windows 10 App-installationsprocessen utnyttjas för att leverera skadliga nyttolaster.
Så här fungerar det: nätfiskedraget leder potentiella offer till en webbplats som använder Adobes varumärke och ber användarna att klicka på en knapp för att förhandsgranska en .PDF-fil. Men om du för muspekaren över länken visas prefixet “ms-appinstaller”.
Sophos
“Under loppet av att köra igenom en faktisk infektion insåg jag att denna konstruktion av en URL triggar webbläsaren [i mitt fall, Microsofts Edge-webbläsare på Windows 10], att anropa ett verktyg som används av Windows Store-applikationen, kallat AppInstaller.exe, att ladda ner och köra allt som finns i andra änden av den länken,” förklarade Sophos-forskaren Andrew Brandt.
Denna länk pekar i sin tur till en textfil, som heter Adobe.appinstaller, som sedan pekar på en större fil som finns på en separat URL, Adobe_1.7.0.0_x64appbundle.
En varningsuppmaning visas då samt ett meddelande om att programvaran har signerats digitalt med ett certifikat utfärdat för flera månader sedan. (Sophos har gjort certifikatmyndigheten medveten om missbruket).
Offren uppmanas sedan att tillåta installationen av “Adobe PDF Component”, och om de ger tillstånd, distribueras BazarBackdoor skadlig programvara och exekveras på några sekunder.
BazarBackdoor, i likhet med BazarLoader, kommunicerar över HTTPS men är ett distinkt skadligt program på grund av mängden bullrig trafik som bakdörren genererar. BazarBackdoor kan exfiltrera systemdata och har länkats till Trickbot, såväl som den potentiella distributionen av Ryuk ransomware.
“Skadlig programvara som kommer i programinstallationspaket är inte vanligt förekommande i attacker,” sa Brandt. “Tyvärr, nu när processen har demonstrerats, kommer den sannolikt att tilldra sig ett större intresse. Säkerhetsföretag och mjukvaruleverantörer måste ha skyddsmekanismerna på plats för att upptäcka och blockera den och förhindra angriparna från att missbruka digitala certifikat.”
Tidigare och relaterad bevakning
RotaJakiro: En Linux-bakdörr som har flugit under radarn i åratal
Kinesiska cyberbrottslingar tillbringade tre år med att skapa en ny bakdörr för att spionera på regeringar
Tomiris bakdörrsupptäckt länkad till Sunshuttle, DarkHalo-hackare
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter