Установщик приложений Windows 10 использовался в атаках вредоносного ПО BazarLoader

15
Электронная почта IKEA подверглась постоянной кибератаке

Операторы банды TrickBot теперь злоупотребляют установщиком приложений Windows 10 для развертывания своего вредоносного ПО BazarLoader в системах целей, которые становятся жертвами целенаправленной спам-кампании.

BazarLoader (также известный как BazarBackdoor, BazaLoader, BEERBOT, KEGTAP и Team9Backdoor) — это скрытый троян-бэкдор, обычно используемый для взлома сетей ценных целей и продажи доступа к скомпрометированным активам другим киберпреступникам.

Он также использовался для доставки дополнительных полезных нагрузок, таких как маяки Cobalt Strike, которые помогают злоумышленникам получить доступ к сети своих жертв и в конечном итоге развернуть опасное вредоносное ПО, включая, помимо прочего, программу- вымогатель Ryuk .

В недавней кампании , обнаруженной главным исследователем SophosLabs Эндрю Брандтом , спам-сообщения злоумышленников вызывают чувство срочности, используя угрожающие выражения и выдавая себя за менеджера компании, который запрашивает дополнительную информацию о жалобе клиента на получателя электронной почты.

Эта жалоба предположительно доступна для просмотра в виде PDF-файла на сайте, размещенном в собственном облачном хранилище Microsoft (в доменах * .web.core.windows.net ).

В дополнение к уловке те, кто получает эту спамерскую кампанию, получают двойную наживку для установки бэкдора BazarLoader с использованием поддомена adobeview, что еще больше повышает доверие к схеме.

«Злоумышленники использовали два разных веб-адреса для размещения этой фальшивой страницы загрузки PDF в течение дня», — сказал Брандт.

«Обе страницы были размещены в облачном хранилище Microsoft, что, возможно, придает ощущение (незаслуженной) аутентичности, а файлы .appinstaller и .appbundle размещались в корне хранилища каждой веб-страницы».

Однако вместо того, чтобы указывать на документ PDF, кнопка «Предварительный просмотр PDF» на фишинговом целевом сайте открывает URL-адрес с префиксом ms-appinstaller : .

При нажатии кнопки браузер сначала покажет предупреждение, спрашивающее жертву, хотят ли они разрешить сайту открывать установщик приложений. Однако большинство людей, скорее всего, проигнорируют его при просмотре файла adobeview. *. * .web.core.windows.net домен в адресной строке.

При нажатии кнопки «Открыть» в диалоговом окне с предупреждением будет запущен установщик приложений Microsoft — встроенное приложение с момента выпуска Windows 10 версии 1607 в августе 2016 года — для развертывания вредоносного ПО на устройстве жертвы в виде поддельного компонента Adobe PDF, доставленного. как пакет приложений AppX.

После запуска установщик приложений сначала начнет загрузку вредоносного файла .appinstaller злоумышленников и связанного файла .appxbundle, содержащего окончательную полезную нагрузку с именем Security.exe, вложенную во вложенную папку UpdateFix.

Полезная нагрузка загружает и выполняет дополнительный файл DLL, который запускается и порождает дочерний процесс, который, в свою очередь, порождает другие дочерние процессы, в конечном итоге заканчивая строку внедрением вредоносного кода в безголовый процесс браузера Edge на основе Chromium.

После развертывания на зараженном устройстве BazarLoader начнет сбор системной информации (например, жесткий диск, процессор, материнская плата, оперативная память, активные хосты в локальной сети с общедоступными IP-адресами).

Эта информация отправляется на командный сервер, замаскированный под файлы cookie, доставляемых через заголовки HTTPS GET или POST.

«Вредоносное ПО, входящее в комплекты установщика приложений, обычно не встречается в атаках. К сожалению, теперь, когда процесс продемонстрирован, он, вероятно, вызовет более широкий интерес», — сказал Брандт.

«Охранные компании и поставщики программного обеспечения должны иметь механизмы защиты, чтобы обнаруживать и блокировать его, а также не позволять злоумышленникам злоупотреблять цифровыми сертификатами».

Вы можете найти индикаторы компрометации (IoC), связанные с этой кампанией BazarLoader, включая образцы хэшей вредоносных программ, командно-управляющий сервер и исходные URL-адреса, на странице SophosLabs на Github .

Microsoft удалила страницы, используемые злоумышленниками для размещения вредоносных файлов в ходе этих атак 4 ноября, после того, как компания Sophos уведомила об этом.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here