En Microsoft Windows 10 app-funktion bliver misbrugt i en ny phishing-kampagne, der spreder BazarBackdoor-malwaren.
Torsdag sagde forskere fra Sophos Labs, at angrebet blev bemærket, efter at cybersikkerhedsfirmaets egne ansatte var blevet ramt af spam-e-mails – men i stedet for at være ren-of-the-mill, blev disse e-mails skrevet med mindst et grundlæggende niveau af social engineering .
En af e-mails, sendt af en “Sophos Main Manager Assistant”, den ikke-eksisterende “Adam Williams”, krævede at vide, hvorfor en forsker ikke havde reageret på en kundes klage. For at gøre løsningen nemmere indeholdt e-mailen et .PDF-link til meddelelsen.
Linket var imidlertid en fælde og afslørede en “ny” teknik, der blev brugt til at implementere BazarBackdoor malware.
Sophos siger, at virksomheden i det mindste er “uvant” med denne metode, hvor Windows 10 App-installationsprocessen udnyttes til at levere ondsindede nyttelaster.
Sådan virker det: Phishing-lokket vil lede potentielle ofre til et websted, der bruger Adobe-mærket, og beder brugerne om at klikke på en knap for at se en .PDF-fil. Men hvis du holdt markøren over linket, vises præfikset “ms-appinstaller”.
Sophos
“I løbet af at køre gennem en faktisk infektion indså jeg, at denne konstruktion af en URL udløser browseren [i mit tilfælde Microsofts Edge-browser på Windows 10] til at påkalde et værktøj, der bruges af Windows Store-applikationen, kaldet AppInstaller.exe, at downloade og køre hvad der er i den anden ende af det link,” forklarede Sophos-forsker Andrew Brandt.
Dette link peger på sin side til en tekstfil ved navn Adobe.appinstaller, som derefter peger på en større fil, der hostes på en separat URL, Adobe_1.7.0.0_x64appbundle.
Derefter vises en advarselsprompt samt en meddelelse om, at softwaren er blevet digitalt signeret med et certifikat udstedt for flere måneder siden. (Sophos har gjort certifikatmyndigheden opmærksom på misbruget).
Ofrene bliver derefter bedt om at tillade installationen af ”Adobe PDF-komponent”, og hvis de giver tilladelse, bliver BazarBackdoor-malwaren implementeret og eksekveret i løbet af få sekunder.
BazarBackdoor, beslægtet med BazarLoader, kommunikerer over HTTPS, men er et karakteristisk ondsindet program på grund af mængden af støjende trafik bagdøren genererer. BazarBackdoor er i stand til at eksfiltrere systemdata og er blevet knyttet til Trickbot, såvel som den potentielle udrulning af Ryuk ransomware.
“Malware, der kommer i programinstallationspakker, ses ikke almindeligt i angreb,” sagde Brandt. “Desværre, nu hvor processen er blevet demonstreret, vil den sandsynligvis tiltrække større interesse. Sikkerhedsvirksomheder og softwareleverandører skal have beskyttelsesmekanismerne på plads for at opdage og blokere den og forhindre angriberne i at misbruge digitale certifikater.”
Tidligere og relateret dækning
RotaJakiro: En Linux-bagdør, der har fløjet under radaren i årevis
Kinesiske cyberkriminelle brugte tre år på at skabe en ny bagdør til at spionere på regeringer
Tomiris bagdørs opdagelse knyttet til Sunshuttle, DarkHalo hackere
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre