Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   В фишинговых атаках BazarBackdoor используется процесс установки приложений в Windows 10 (http://txgate.io:443/showthread.php?t=13591)

Artifact 02-17-2025 09:23 PM

Сотрудники Sophos Labs стали жертвами спама с использованием социальной инженерии.
https://www.securitylab.ru/upload/ib...d8ef4ca126.jpg
Киберпреступники злоупотребляют функцией приложения AppInstaller.exe для Windows 10 в ходе новой фишинговой кампании BazarBackdoor. По словам исследователей в области кибербезопасности из Sophos Labs, сотрудники фирмы стали жертвами спама с использованием социальной инженерии.
В одном из писем, отправленном «помощником главного менеджера Sophos», несуществующий Адам Уильямс (Adam Williams) пытался узнать, почему исследователь не ответил на жалобу клиента. Письмо также содержало ссылку на сообщение в формате PDF. Ссылка на самом деле была ловушкой и раскрыла экспертам «новый» метод, используемый для развертывания вредоносного ПО BazarBackdoor.
В ходе данной кампании преступники используют процесс установки приложений в Windows 10 для загрузки вредоносных полезных данных. Злоумышленники перенаправляют потенциальных жертв на web-сайт, использующий бренд Adobe, и просят пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс «ms-appinstaller».
«В ходе атаке я понял, что построение URL-адреса запускает браузер [в моем случае, браузер Microsoft Edge в Windows 10] и вызывает инструмент AppInstaller.exe, используемый приложением Windows Store, для загрузки и запуска, что находится на другом конце этой ссылки, — пояснил эксперт Эндрю Брандт (Andrew Brandt).
Ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера Adobe_1.7.0.0_x64appbundle, размещенный по отдельному URL-адресу.
Затем появляется уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад. Жертву просят разрешить установку Adobe PDF Component, и в случае успеха вредоносная программа BazarBackdoor развертывается и запускается в считанные секунды.
BazarBackdoor является аналогом вредоносного ПО BazarLoader и обменивается данными по HTTPS-протоколу, но является отличительной вредоносной программой из-за большого количества шумного трафика, генерируемого бэкдором. BazarBackdoor может похищать системные данные и был связан с установкой Trickbot, а также с потенциальным развертыванием вымогателя Ryuk.


All times are GMT. The time now is 12:54 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.