TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。
BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标 *** ,并将对受损设备的访问权出售给其他 *** 罪犯。
它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者 *** ,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。
SophosLabs首席研究员安德鲁·布兰特(Andrew Brandt)在最近的一次活动中发现,攻击者的垃圾邮件使用了威胁性语言,还冒充一名公司经理,用来引发受害者紧迫感,攻击者要求提供有关客户投诉电子邮件收件人的更多信息。
据称,该投诉可以从微软自己的云存储(位于*.web.core.windows.net域名上)上的网站以PDF格式进行审查。
为了增加诈骗效果,这些垃圾邮件攻击的接收端被双重诱惑,被诱使使用adobeview子域安装BazarLoader后门,这进一步增加了该计划的可信度。
布兰特说:“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。”
“这两个网页都托管在Microsoft的云存储中,这会给它带来一种(并不切实的)真实感,.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。”
但是,钓鱼网站上的“预览PDF”按钮不会指向PDF文档,而是打开一个带有ms appinstaller:前缀的URL。
单击按钮时,浏览器将首先显示一条警告,询问受害者是否允许该站点打开应用程序安装程序。但是,大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。
单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序(自2016年8月发布Windows 10 1607版以来的内置应用程序),以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件,该软件作为AppX应用包发布。
一旦启动,应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件,其中包含名为Security.exe的最终有效负载,它嵌套在UpdateFix子文件夹中。
有效负载下载并执行一个额外的DLL文件,该文件启动并生成一个子进程,该子进程接着生成其他子进程,最终将恶意代码注入无头的基于Chromium的Edge浏览器进程,从而结束字符串。
在受感染的设备上部署后,BazarLoader将开始收集系统信息(例如,硬盘、处理器、主板、RAM、本地 *** 上具有面向公众IP地址的活动主机)。
该信息被发送到C&C服务器,伪装成通过HTTPS GET或POST头信息传递的cookie。
布兰特说:“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是,现在这个 *** 已经被证明有用,它可能会引起更多的关注。”
“安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。”
在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。
消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 So...
Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创...
Hackernews 编译,转载请注明出处: 一名23岁的俄罗斯人在美国被起诉,并被列入美国联邦调查局网络通缉名单,因为他被指控是一家网络犯罪论坛 Marketplace A的管理员,该论坛出售被盗的登录凭证、个人信息和信用卡数据。 伊戈尔 · 德赫蒂亚克(Igor Dekhty...
网络安全仍然是一个不断发展的领域,对威胁者和安全专家来说都是如此。尽管如此,最近产生的一个积极因素是,公司更愿意与合作伙伴、专家和更大的社区分享信息,共同应对威胁。这方面的一个例子是,微软与苹果合作修补macOS设备中的”Shrootless”漏洞。微软已经提供了有关一个针对Mac的复杂木马的详细信...