В четверг, 11 ноября 2021 года, исследователи из Sophos Labs сообщили об обнаружении подозрительных писем, которые были созданы с использованием приемов социальной инженерии. Интересно, что электронные письма были направлены сотрудникам лаборатории.
В одном из сообщений, отправленным якобы «помощником главного руководителя Sophos», вымышленный «Адам Уильямс» интересовался, почему исследователь не ответил на жалобу клиента. Для большей убедительности письмо содержало ссылку на сообщение в формате PDF.
Тем не менее, ссылка оказалась вредоносной, и использовалась для распространения вредоносного ПО BazarBackdoor.
Исследователи Sophos заявляют, что в атаке используется новый метод распространения вредоносной нагрузки, в котором задействован процесс установки приложений Windows 10.
Работает это следующим образом: фишинговая приманка направляет потенциальных жертв на веб-сайт, который использует бренд Adobe, и просит пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс ms-appinstaller:.
Исследователь Sophos Эндрю Брандт (Andrew Brandt) пояснил:
В ходе реального заражения при клике по URL-адресу запускается браузер, который вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска содержимого, доступного по ссылке.
В свою очередь, вредоносная ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера, размещенный по отдельному URL-адресу, Adobe_1.7.0.0_x64appbundle.
Затем появляется предупреждение, а также уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. (Sophos уже уведомил центр сертификации о злоупотреблении).
Затем у жертв запрашивается разрешение установить «Adobe PDF Component». Если пользователь предоставит такое разрешение, то BazarBackdoor будет развернут и запущен в системе в считанные секунды.
BazarBackdoor, как и BazarLoader, обменивается данными по протоколу HTTPS, но отличается от него большим количеством генерируемого шумного трафика. Известно, что BazarBackdoor может извлекать системные данные и связан с Trickbot и программой-вымогателем Ryuk.
Брандт также отметил:
Вредоносные программы, входящие в комплекты установщиков приложений, обычно не используются в атаках. К сожалению, теперь, когда процесс был продемонстрирован, он, вероятно, вызовет более широкий интерес. Компании, занимающиеся безопасностью, и поставщики программного обеспечения должны предусмотреть механизмы защиты, чтобы обнаруживать и блокировать подобные атаки и не позволять злоумышленникам злоупотреблять цифровыми сертификатами.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5