BazarBackdoor nutzt Windows-10-App-Funktion für Cyberangriffe

Forscher von Sophos Labs haben eine neue Angriffsmethode analysiert, die sich gegen Nutzer von Windows 10 richtet. Demnach sind derzeit Phishing-E-Mails im Umlauf, die schädliche Links enthalten. Ziel der Angreifer ist es, über eine legitime Funktion des Windows 10 App Installer die Malware BazarBackdoor einzuschleusen.

Sophos wurde auf die Betrugsmasche aufmerksam, nachdem eigene Mitarbeiter das Ziel der Hacker geworden waren. Sie erhielten Nachrichten von einem angeblichen Sophos-Manager, der wissen wollte, warum die Forscher nicht auf eine Beschwerde eines Kunden reagierten. Weitere Informationen sollte eine verlinkte PDF-Datei liefern.

Der Link war jedoch ein Teil der neuen Angriffstechnik, bei der der App-Installer-Prozess von Windows 10 zur Verbreitung von Schadsoftware benutzt wird. Konkret führte der Link zu einer gefälschten Adobe-Website. Dort sollte ein Opfer auf einen Button klicken, um sich eine Vorschau der PDF-Datei anzeigen zu lassen. Ein Mouseover über den Button enthüllte den Forschern jedoch den Prefix “ms-appinstaller”.

“Beim Durchlaufen einer tatsächlichen Infektion habe ich festgestellt, dass diese Konstruktion einer URL den Browser (in meinem Fall Microsofts Edge-Browser auf Windows 10) dazu veranlasst, ein Tool namens AppInstaller.exe aufzurufen, das von der Windows Store-Anwendung verwendet wird, um das herunterzuladen und auszuführen, was sich am anderen Ende des Links befindet”, erklärte Sophos-Forscher Andrew Brandt.

In dem konkreten Fall warnte Windows 10 wie vorgesehen vor der Installation einer Software, die allerdings mit einem gültigen Zertifikat digital signiert war. Mit der Erteilung der Zustimmung zur Installation der “Adobe PDF Component” genannten Software gelangte dann aber eben keine PDF-Komponente zum Anzeigen der Vorschau, sondern die Malware BazarBackdoor auf das angegriffene System.

BazarBackdoor kommuniziert laut Sophos per HTTPS und ist in der Lage, Systemdaten auszuspähen. Die Schadsoftware wird mit Trickbot in Verbindung gebracht und möglicherweise sogar zur Verbreitung der Ransomware Ryuk benutzt.

“Malware, die in Installationspaketen von Anwendungen enthalten ist, wird nicht häufig bei Angriffen beobachtet”, ergänzte Brandt. “Jetzt, da das Verfahren demonstriert wurde, dürfte es leider auf größeres Interesse stoßen. Sicherheitsunternehmen und Softwarehersteller müssen über Schutzmechanismen verfügen, um sie zu erkennen und zu blockieren und die Angreifer daran zu hindern, digitale Zertifikate zu missbrauchen.”