Pozor, ak máte Windows 10 PC! Hackeri zneužívajú Inštalátor aplikácií systému Windows 10 pri útokoch softvéru BazarLoader
Windows 10 používatelia by sa mali mať na pozore. Dôvodom je útok škodlivého softvéru BazarLoader, ktorý zneužíva inštalátor aplikácií Windows 10.
Útoky rôznych hackerov, či záškodníkov sú čoraz častejšími a už pomaly to vyzerá tak, že nie je dňa, kedy sa niečo nové neobjaví. Najnovšie sa do pozornosti analytikov dostáva nová kampaň, ktorá síce vyzerá neškodne, ale je o to zákernejšou, píšu analytici z SophosLabs. Na tému upozorňuje portál bleepingcomputer.com.
Počítačmi s Windowsom 10 lomcuje malvér BazarLoader
Bezpečnostní analytici upozorňujú na to, že internetom lomcuje nová kampaň, ktorá zneužíva inštalačný program Windows 10 App Installer na nasadenie svojho malvéru BazarLoader do počítačov obetí prostredníctvom cielenej spamovej kampane.
BazarLoader je softvérom, ktorý má viacero pseudonymov. Napríklad, poznať ho môžeme i pod názvami, ako sú BazarBackdoor, BazaLoader, BEERBOT, KEGTAP a Team9Backdoor a podobne. Ide o skrytého trójskeho koňa so zadnými vrátkami, ktorý sa najčastejšie používa na kompromitovanie sietí. Používa sa i na prístup k sieťam obetí, aby mohli nasadiť ďalší nebezpečný malvér, napríklad ransomvér Ryuk.
Ide o sofistikovanú kampaň
Túto kampaň zo strany hackerov si všimol Andrew Brandt, hlavný analyt spoločnosti SophosLabs. Najčastejšie prebieha prostredníctvom nevyžiadaných e-mailových správ, v ktorých útočník nalieha, že ide o manažéra vašej firmy žiadajúceho, aby ste sa vyjadrili k sťažnosti od zákazníka, ktorú posiela v prílohe. Dokument v prílohe je dostupný vo formáte .pdf a hosťovaný je na úložisku „web.core.windows.net“, čo znásobuje dôveryhodnosť správy. Potom, ako používateľ klikne na dokument priložený v e-mailovej správe, tak je vyzvaný, aby si nainštaloval doplnok, aby si mohol stiahnuť dokument so sťažnosťou. Inštaláciou doplnku, ktorý na prvý pohľad vyzerá, že ide o doplnok pre známy softvér Adobe, je v skutočnosti malvér.
„Útočníci používali počas útoku dve rôzne webové adresy na hosťovanie tejto falošnej stránky na stiahnutie súboru PDF,“ povedal Brandt. „Obe stránky boli hosťované v cloudovom úložisku spoločnosti Microsoft, čo im možno dodáva pocit autenticity a súbory .appinstaller aj .appbundle boli hosťované v koreňovom adresári úložiska každej webovej stránky.“
Po kliknutí na tlačidlo, prehliadač najprv zobrazí varovanie, ktoré sa obete spýta, či chce webu povoliť otvorenie Inštalátora aplikácií. Väčšina ľudí to však bude pravdepodobne ignorovať, keď v paneli s adresou uvidí doménu adobeview.*.*.web.core.windows.net. Kliknutím na „Otvoriť“ v dialógovom okne s upozornením sa spustí inštalátor aplikácií od spoločnosti Microsoft.
Neprehliadnite
Následne dôjde k nasadeniu škodlivého kódu v podobe falošného komponentu pre Adobe PDF, čo je softvér, ktorý má väčšina z nás nainštalovaný v počítači. Softvér následne spúšťa podriadené procesy, ktoré šíria škodlivý softvér do ďalších častí počítača vrátane programov, ako sú internetové prehliadače.
Po nasadení škodlivého softvéru na infikovanom zariadení, BazarLoader začne zbierať najmä systémové informácie, ktoré sú následne zdieľané so serverom útočníka pričom sú maskované, ako súbory cookie, čo sťažuje identifikáciu malvéru v počítači.
Komentáre