Todas las Noticias en Pel√≠culas, Avances de Pel√≠culas y Rese√Īas.

El malware BazarBackdoor utiliza una instalación similar a la de Microsoft Store para ingresar a Windows

Los atacantes utilizan AppInstaller.exe en Windows para distribuir el malware BazarBackdoor. Así lo ha descubierto Ciberseguridad investigadores de los laboratorios Sophos. Se está utilizando un nuevo ataque de phishing para difundir el malware.

Curiosamente, los propios empleados de Sophos Labs fueron el objetivo del ataque de spam por correo electrónico.

Créditos de la imagen: Laboratorios Sophos

En uno de los mensajes de correo electr√≥nico supuestamente enviado por un “Director principal de Sophos”, Adam Williams, que en realidad no existe. “√Čl” se pregunt√≥ por qu√© el investigador no hab√≠a respondido a la queja de un cliente.

El correo electrónico incluía un enlace a un mensaje en PDF que revelaba un nuevo método de distribución de malware. Se trata del instalador de aplicaciones de Microsoft utilizado por la aplicación Store en Windows 10 y Windows 11.

La URL comienza con el protocolo ms-appinstaller://. Al hacer clic en el enlace se iniciar√° el navegador predeterminado, por ejemplo Microsoft Edge, que posteriormente iniciar√° el software AppInstaller.exe utilizado por Microsoft Store para instalar aplicaciones.

El enlace apunta a un archivo de texto llamado Adobe.appinstaller, que contiene las instrucciones para descargar e instalar un archivo llamado Adobe_1.7.0.0_x64.appbundle. El software est√° firmado con un certificado emitido hace apenas unos meses por Systems Accounting Limited, con sede en el Reino Unido.

El instalador solicitar√° al usuario que instale un software llamado “Adobe PDF Component”. Si se concede el permiso, el malware BazarBackdoor se descargar√° y ejecutar√° en el sistema en segundos.

BazarBackdoor, al igual que BazarLoader, se comunica a través de HTTPS, pero se diferencia de él por la gran cantidad de tráfico ruidoso que genera la puerta trasera. Se sabe que BazarBackdoor intercepta datos del sistema. También se cree que está relacionado con la instalación de Trickbot y el ransomware Ryuk.

Recomendado:  Classic Fantasy Minis con un toque (Mini Spotlight)

Se pueden encontrar m√°s detalles en el blog oficial de Sophos.