Los atacantes utilizan AppInstaller.exe en Windows para distribuir el malware BazarBackdoor. Así lo ha descubierto Ciberseguridad investigadores de los laboratorios Sophos. Se está utilizando un nuevo ataque de phishing para difundir el malware.
Curiosamente, los propios empleados de Sophos Labs fueron el objetivo del ataque de spam por correo electrónico.
En uno de los mensajes de correo electrónico supuestamente enviado por un “Director principal de Sophos”, Adam Williams, que en realidad no existe. “Él” se preguntó por qué el investigador no había respondido a la queja de un cliente.
El correo electrónico incluía un enlace a un mensaje en PDF que revelaba un nuevo método de distribución de malware. Se trata del instalador de aplicaciones de Microsoft utilizado por la aplicación Store en Windows 10 y Windows 11.
La URL comienza con el protocolo ms-appinstaller://. Al hacer clic en el enlace se iniciará el navegador predeterminado, por ejemplo Microsoft Edge, que posteriormente iniciará el software AppInstaller.exe utilizado por Microsoft Store para instalar aplicaciones.
El enlace apunta a un archivo de texto llamado Adobe.appinstaller, que contiene las instrucciones para descargar e instalar un archivo llamado Adobe_1.7.0.0_x64.appbundle. El software está firmado con un certificado emitido hace apenas unos meses por Systems Accounting Limited, con sede en el Reino Unido.
El instalador solicitará al usuario que instale un software llamado “Adobe PDF Component”. Si se concede el permiso, el malware BazarBackdoor se descargará y ejecutará en el sistema en segundos.
BazarBackdoor, al igual que BazarLoader, se comunica a través de HTTPS, pero se diferencia de él por la gran cantidad de tráfico ruidoso que genera la puerta trasera. Se sabe que BazarBackdoor intercepta datos del sistema. También se cree que está relacionado con la instalación de Trickbot y el ransomware Ryuk.
Se pueden encontrar más detalles en el blog oficial de Sophos.
