Bazar Backdoor
Pada hari Kamis (11/11/2021), para peneliti dari Sophos Labs melaporkan serangan diketahui setelah karyawan perusahaan cybersecurity menjadi sasaran email spam - tetapi bukan biasa-biasa saja, email-email ini ditulis setidaknya tingkat dasar rekayasa sosial. .
Salah satu email, yang dikirim oleh "Asisten Manajer Utama Sophos", "Adam Williams" yang tidak ada, menanyakan mengapa seorang peneliti tidak menanggapi keluhan pelanggan. Untuk mempermudah penyelesaian, email tersebut berisi tautan .PDF ke pesan.
Namun, tautan itu adalah jebakan dan mengungkapkan teknik "baru" yang digunakan untuk menyebarkan malware Bazar Backdoor.
Sophos mengatakan bahwa perusahaan, setidaknya, "tidak terbiasa" dengan metode ini, di mana proses penginstal Aplikasi Windows 10 dieksploitasi untuk mengirimkan muatan berbahaya.
Cara Kerjanya
Biasanya phishing akan mengarahkan calon korban ke situs web menggunakan merek Adobe dan meminta pengguna mengklik tombol untuk melihat pratinjau file .PDF. Namun, jika Anda mengarahkan kursor ke tautan, awalan "ms-appinstaller" akan ditampilkan.
"Untuk menjalankan infeksi ini, saya menyadari bahwa konstruksi URL ini memicu browser dalam kasus saya, browser Microsoft's Edge di Windows 10, untuk memanggil alat yang digunakan oleh aplikasi Windows Store, yang disebut AppInstaller.exe, untuk mengunduh dan menjalankan apa pun yang ada di ujung lain tautan itu," jelas peneliti Sophos, Andrew Brandt.
Pada gilirannya, tautan ini mengarah ke file teks, bernama Adobe.appinstaller, yang kemudian mengarah ke file yang lebih besar yang dihosting di URL terpisah, Adobe_1.7.0.0_x64appbundle.
Prompt peringatan kemudian muncul serta pemberitahuan bahwa perangkat lunak telah ditandatangani secara digital dengan sertifikat yang dikeluarkan beberapa bulan yang lalu. (Sophos telah membuat otoritas sertifikat dan menyadari penyalahgunaan).
Korban kemudian diminta untuk mengizinkan penginstalan "Adobe PDF Component," dan jika mereka memberikan izin, malware BazarBackdoor disebarkan dan dieksekusi dalam hitungan detik.
BazarBackdoor, mirip dengan BazarLoader, berkomunikasi melalui HTTPS tetapi merupakan program jahat yang khas karena jumlah lalu lintas bising yang dihasilkan oleh pintu belakang. BazarBackdoor mampu mengekstrak data sistem dan telah ditautkan ke Trickbot, serta potensi penyebaran ransomware Ryuk.
"Malware yang datang dalam bundel penginstal aplikasi tidak biasa terlihat dalam serangan," kata Brandt. "Sayangnya, sekarang prosesnya telah didemonstrasikan, kemungkinan akan menarik minat yang lebih luas. Perusahaan keamanan dan vendor perangkat lunak perlu memiliki mekanisme perlindungan untuk mendeteksi dan memblokirnya serta mencegah penyerang menyalahgunakan sertifikat digital."