当前位置:首页 > 网站入侵 > 正文内容

Windows 10应用程序安装程序在 BazarLoader 恶意软件攻击中被滥用

访客56年前 (1970-01-01)网站入侵726

TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。

BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标 *** ,并将对受损设备的访问权出售给其他 *** 罪犯。

它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者 *** ,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。

SophosLabs首席研究员安德鲁·布兰特(Andrew Brandt)在最近的一次活动中发现,攻击者的垃圾邮件使用了威胁性语言,还冒充一名公司经理,用来引发受害者紧迫感,攻击者要求提供有关客户投诉电子邮件收件人的更多信息。

据称,该投诉可以从微软自己的云存储(位于*.web.core.windows.net域名上)上的网站以PDF格式进行审查。

为了增加诈骗效果,这些垃圾邮件攻击的接收端被双重诱惑,被诱使使用adobeview子域安装BazarLoader后门,这进一步增加了该计划的可信度。

布兰特说:“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。”

“这两个网页都托管在Microsoft的云存储中,这会给它带来一种(并不切实的)真实感,.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。”

但是,钓鱼网站上的“预览PDF”按钮不会指向PDF文档,而是打开一个带有ms appinstaller:前缀的URL。

单击按钮时,浏览器将首先显示一条警告,询问受害者是否允许该站点打开应用程序安装程序。但是,大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。

单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序(自2016年8月发布Windows 10 1607版以来的内置应用程序),以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件,该软件作为AppX应用包发布。

一旦启动,应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件,其中包含名为Security.exe的最终有效负载,它嵌套在UpdateFix子文件夹中。

有效负载下载并执行一个额外的DLL文件,该文件启动并生成一个子进程,该子进程接着生成其他子进程,最终将恶意代码注入无头的基于Chromium的Edge浏览器进程,从而结束字符串。

在受感染的设备上部署后,BazarLoader将开始收集系统信息(例如,硬盘、处理器、主板、RAM、本地 *** 上具有面向公众IP地址的活动主机)。

该信息被发送到C&C服务器,伪装成通过HTTPS GET或POST头信息传递的cookie。

布兰特说:“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是,现在这个 *** 已经被证明有用,它可能会引起更多的关注。”

“安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。”

在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。

消息来源:BleepingComputer,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于 *** ;

转载请注明“转自 HackerNews.cc ” 并附上原文链接

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32402.html

返回列表

没有更早的文章了...

下一篇:如何找回qq密码(手机号也停用了)

“Windows 10应用程序安装程序在 BazarLoader 恶意软件攻击中被滥用” 的相关文章

FBI 警告外界小心 BEC 诈骗 五年来已盗取 430 亿美元资金

美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...

微软安全报告称美国多家国防公司被盯上 攻击者疑似来自伊朗

数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。 图片来自于微软 微软发现的最新恶意活动集群目前被称为 DEV-0...

4 个近期猖獗的新兴勒索软件团体曝光 对企业和关键基础设施构成严重威胁

本周二,网络安全研究人员揭开了 4 个近期比较猖獗的新兴勒索软件团体,它们可能对企业和关键基础设施构成严重威胁。最近勒索软件事件激增的连锁反应表明,攻击者在从受害者那里获取报酬方面正变得越来越复杂,越来越有利可图。 在分享给 The Hacker News 的一份报告中,Palo Alto Net...

测试结果表明 Windows Defender 是 2021 年最好的反病毒软件之一

位于德国的IT安全研究机构AV-TEST发布了针对Windows 10家庭用户的2021年10月最佳反病毒程序评估报告。在这份报告中,该组织评测了来自不同公司的21个不同的反恶意软件程序,测试中还包括微软的Windows Defender。 结果,Windows Defender在这次评估中获得了非...

恶意软件开发者主动公开 Maze/Egregor/Sekhmet 解密密钥

昨晚,据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖,公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的,该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政...

为寻找漏洞 美国国防部将约 1.75 亿个 IP 地址交由一家小公司管理

援引《华盛顿邮报》报道,为了帮助寻找网络漏洞美国国防部已将大约 1.75 亿个 IP 地址池交给佛罗里达州的一家小公司控制。美国五角大楼发言人向《邮报》透露,作为试点工作的一部分已经于 1 月 20 日将这些 IP 地址交由 Global Resource Systems 公司管理,目的是“识别潜在...

评论列表

弦久望笑
2年前 (2022-07-02)

能会引起更多的关注。”“安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。”在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。消息来源:Bl

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。