BazarBackdoor abusa de AppInstaller de Windows 10 para infectar a las víctimas

Se descubrió que el malware BazarBackdoor abusa de una función de la aplicación Microsoft Windows 10. El ataque se detectó cuando una compañía de ciberseguridad fue atacada vía phishing utilizando algunos trucos de ingeniería social. La compañía atacada fue Sophos, y en particular, los atacantes enviaron un correo electrónico fingiendo ser de Sophos Main Manager […]

Se descubrió que el malware BazarBackdoor abusa de una función de la aplicación Microsoft Windows 10. El ataque se detectó cuando una compañía de ciberseguridad fue atacada vía phishing utilizando algunos trucos de ingeniería social.

La compañía atacada fue Sophos, y en particular, los atacantes enviaron un correo electrónico fingiendo ser de Sophos Main Manager Assistant, utilizando un nombre ficticio.

El mensaje del correo electrónico fraudulento contiene una pregunta a la víctima potencial de por qué no se respondió a la queja de un cliente, solicitando llamarle por teléfono.

El correo electrónico además incluye un enlace a un archivo PDF que supuestamente ayudaría a resolver la queja del cliente. Sin embargo, el enlace apunta a páginas que eventualmente descargan el malware BazarBackdoor.

En concreto, los atacantes están utilizando una técnica nueva e inusual en la que se abusa del proceso de instalación de la aplicación de Windows 10 (AppInstaller [.] Exe) para difundir cargas útiles maliciosas.

El señuelo de phishing dirige a las víctimas a un sitio web y les pide a los usuarios que hagan clic en un botón para obtener una vista previa de un archivo “PDF”. Sin embargo, al pasar el cursor sobre el enlace, se muestra al destinatario un prefijo ms-appinstaller.

Cuando la víctima hace clic en el enlace, la URL activa el navegador para invocar una herramienta utilizada por la aplicación de la Tienda Windows (AppInstaller [.] Exe) para descargar / ejecutar cualquier cosa disponible en el otro extremo del enlace.

En los ataques recientes, el enlace apunta a un archivo de texto, Adobe [.] Appinstaller, que dirige a los destinatarios a un archivo más grande (llamado Adobe_1.7.0.0_x64appbundle) alojado en otra URL.

Se muestra un mensaje de advertencia, junto con un aviso de que el software está firmado digitalmente con un certificado emitido hace varios meses.

Además, se solicita a las víctimas que permitan la instalación de Adobe PDF Component. Si otorgan el permiso, en unos segundos, el malware BazarBackdoor se entrega y se ejecuta en la máquina infectada.