Установщик приложений Windows 10 использовался в атаках вредоносного ПО BazarLoader

18
Qbot нужно всего 30 минут, чтобы украсть ваши учетные данные, электронные письма

Операторы банды TrickBot теперь злоупотребляют установщиком приложений Windows 10 для развертывания своего вредоносного ПО BazarLoader в системах целей, которые становятся жертвами целенаправленной спам-кампании.

BazarLoader (также известный как BazarBackdoor, BazaLoader, BEERBOT, KEGTAP и Team9Backdoor) — это скрытый троян-бэкдор, обычно используемый для взлома сетей ценных целей и продажи доступа к скомпрометированным активам другим киберпреступникам.

Он также использовался для доставки дополнительных полезных нагрузок, таких как маяки Cobalt Strike, которые помогают злоумышленникам получить доступ к сети своих жертв и в конечном итоге развернуть опасное вредоносное ПО, включая, помимо прочего, программу- вымогатель Ryuk .

В недавней кампании , обнаруженной главным исследователем SophosLabs Эндрю Брандтом , спам-сообщения злоумышленников вызывают чувство срочности, используя угрожающие выражения и выдавая себя за менеджера компании, который запрашивает дополнительную информацию о жалобе клиента на получателя электронной почты.

Эта жалоба предположительно доступна для просмотра в виде PDF-файла на сайте, размещенном в собственном облачном хранилище Microsoft (в доменах * .web.core.windows.net ).

В дополнение к уловке те, кто получает эту спамерскую кампанию, получают двойную наживку для установки бэкдора BazarLoader с использованием поддомена adobeview, что еще больше повышает доверие к схеме.

«Злоумышленники использовали два разных веб-адреса для размещения этой фальшивой страницы загрузки PDF в течение дня», — сказал Брандт.

«Обе страницы были размещены в облачном хранилище Microsoft, что, возможно, придает ощущение (незаслуженной) аутентичности, а файлы .appinstaller и .appbundle размещались в корне хранилища каждой веб-страницы».

Однако вместо того, чтобы указывать на документ PDF, кнопка «Предварительный просмотр PDF» на фишинговом целевом сайте открывает URL-адрес с префиксом ms-appinstaller : .

При нажатии кнопки браузер сначала покажет предупреждение, спрашивающее жертву, хотят ли они разрешить сайту открывать установщик приложений. Однако большинство людей, скорее всего, проигнорируют его при просмотре файла adobeview. *. * .web.core.windows.net домен в адресной строке.

При нажатии кнопки «Открыть» в диалоговом окне с предупреждением будет запущен установщик приложений Microsoft — встроенное приложение с момента выпуска Windows 10 версии 1607 в августе 2016 года — для развертывания вредоносного ПО на устройстве жертвы в виде поддельного компонента Adobe PDF, доставленного. как пакет приложений AppX.

После запуска установщик приложений сначала начнет загрузку вредоносного файла .appinstaller злоумышленников и связанного файла .appxbundle, содержащего окончательную полезную нагрузку с именем Security.exe, вложенную во вложенную папку UpdateFix.

Полезная нагрузка загружает и выполняет дополнительный файл DLL, который запускается и порождает дочерний процесс, который, в свою очередь, порождает другие дочерние процессы, в конечном итоге заканчивая строку внедрением вредоносного кода в безголовый процесс браузера Edge на основе Chromium.

После развертывания на зараженном устройстве BazarLoader начнет сбор системной информации (например, жесткий диск, процессор, материнская плата, оперативная память, активные хосты в локальной сети с общедоступными IP-адресами).

Эта информация отправляется на командный сервер, замаскированный под файлы cookie, доставляемых через заголовки HTTPS GET или POST.

«Вредоносное ПО, входящее в комплекты установщика приложений, обычно не встречается в атаках. К сожалению, теперь, когда процесс продемонстрирован, он, вероятно, вызовет более широкий интерес», — сказал Брандт.

«Охранные компании и поставщики программного обеспечения должны иметь механизмы защиты, чтобы обнаруживать и блокировать его, а также не позволять злоумышленникам злоупотреблять цифровыми сертификатами».

Вы можете найти индикаторы компрометации (IoC), связанные с этой кампанией BazarLoader, включая образцы хэшей вредоносных программ, командно-управляющий сервер и исходные URL-адреса, на странице SophosLabs на Github .

Microsoft удалила страницы, используемые злоумышленниками для размещения вредоносных файлов в ходе этих атак 4 ноября, после того, как компания Sophos уведомила об этом.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии