https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

BazarBackdoor 操作者濫用 Windows 10 應用程式安裝程式來傳播惡意軟體

2021 / 11 / 22
編輯部
BazarBackdoor 操作者濫用 Windows 10 應用程式安裝程式來傳播惡意軟體
SophosLabs 研究人員發表了一篇部落格文章,詳細介紹 BazarBackdoor (或稱 BazarLoader) 惡意軟體家族所發起的新攻擊,而該攻擊始於一個針對性很強的惡意垃圾郵件活動。據 SophosLabs 研究人員稱,該活動透過一種新穎的機制來傳播惡意軟體:濫用 Windows 10 應用程式安裝程式使用的 appxbundle 格式,而這種手法似乎尚未被廣泛使用。

Sophos 員工收到了一封聲稱來自公司經理的電子郵件,內容是關於客戶投訴。收件者欄直稱他們的名字和公司名稱,郵件內容措辭則是突兀且具威脅性——這是一種對收件者施壓的經典騙術。郵件催促收件者點擊進入據稱已被貼文投訴的網站以進一步查看內容。但若按下這個連結,使用者將會被導向到惡意軟體。

Sophos 研究人員對該惡意軟體以及攻擊策略和手法進行了深入分析。這份發表在 SophosLabs Uncut 上的技術部落格詳細介紹了他們的發現。

該部落格揭露了點擊電子郵件連結後將會開展的攻擊鏈:
  • 會出現一個濫用 Adob​​e 商標的頁面,並要求使用者按下 [預覽 PDF] 的按鈕
  • 但是按鈕連結並不是以預期的 https:// 開頭,而是以前置詞 ms-appinstaller 開頭
  • 該不尋常的前置詞會觸發瀏覽器呼叫一個名為 AppInstaller.exe 的工具,然後下載並執行連結到另一端的任何內容
  • 在這次攻擊中,連結的另一端是一個名為 Adob​​e.appinstaller 的文字檔,該檔案又指向另一個 URL,連向到一個含惡意軟體​​的大型檔案
  • 該應用程式似乎使用數位憑證進行簽章,以便看起來值得信任且合法
  • 如果使用者授予權限,則惡意軟體就會被安裝進來
  • 該惡意軟體的行為被識別為 BazarBackdoor。它做的第一件事就是分析受感染的電腦,找出公開 IP 地址並將資訊回傳給它的命令和控制伺服器
  • 然後,受感染的裝置會被加入到 BazarBackdoor 殭屍網路並安裝後門植入程式,以便在需要時進一步傳送惡意裝載

Sophos 首席研究員 Andrew Brandt 表示:  
「把包含最新攻擊手法的惡意電子郵件寄到安全公司,應該是操作者的失策。這種藏在應用程式安裝程式套件中的惡意軟體並不常見。不幸的是,既然這種方法已經出現,它很可能會引起更多人的興趣。安全公司和軟體廠商需要採取適當的保護機制來偵測和阻止它,避免攻擊者濫用數位簽章。」

Sophos 首席研究科學家 Paul Ducklin 表示:
「與大多數此類後門程式一樣,該惡意軟體蓄意包含了一個可以下載和安裝更多惡意軟體的功能。因此,這種攻擊的危險在於,儘管這次感染看起來、感覺起來都像是攻擊鏈的結束,但實際上只是下一次攻擊的開始。而且您無法預知接下來會出現什麼惡意軟體。此外,人們很容易誤認被偷的設定資料「基本上無害」,例如只是每部受感染裝置的 RAM 和 CPU 資訊。但犯罪分子喜歡知道這些細節,因為這有助於他們判斷殭屍網路中的哪些電腦最適合用來進行哪種類型的惡意活動。」

SophosLabs 已在 Github 頁面上發布了與此次攻擊相關的入侵指標 (IoC)。Microsoft 於 2021 年 11 月 4 日星期四關閉了多個託管惡意檔案的頁面。

Sophos Naked Security 上詳細介紹了攻擊者使用的社交工程技術,並提供人們應該如何保護自己免受此一威脅的建議