Les opérateurs de gangs TrickBot abusent désormais du programme d’installation d’applications Windows 10 pour déployer leur malware BazarLoader sur les systèmes de cibles victimes d’une campagne de spam très ciblée.
BazarLoader (alias BazarBackdoor, BazaLoader, BEERBOT, KEGTAP et Team9Backdoor) est un cheval de Troie de porte dérobée furtif couramment utilisé pour compromettre les réseaux de cibles de grande valeur et vendre l’accès aux actifs compromis à d’autres cybercriminels.
Il a également été utilisé pour fournir des charges utiles supplémentaires, telles que des balises Cobalt Strike qui aident les acteurs malveillants à accéder au réseau de leurs victimes et, en fin de compte, à déployer des logiciels malveillants dangereux, y compris, mais sans s’y limiter, le ransomware Ryuk.
Lors de la récente campagne repéré par Andrew Brandt, chercheur principal des SophosLabs, les e-mails de spam des attaquants induisent un sentiment d’urgence en utilisant un langage menaçant et en se faisant passer pour un responsable d’entreprise qui demande plus d’informations sur une plainte d’un client concernant le destinataire de l’e-mail.
Cette plainte est censée être disponible pour examen au format PDF à partir d’un site hébergé sur le propre stockage en nuage de Microsoft (sur *.web.core.windows.net domaines).
Pour ajouter à la ruse, les destinataires de cette campagne de spam sont doublement incités à installer la porte dérobée BazarLoader à l’aide d’un adobeview sous-domaine qui ajoute encore plus de crédibilité au schéma.
« Les attaquants ont utilisé deux adresses Web différentes pour héberger cette fausse page de ‘téléchargement PDF’ tout au long de la journée », a déclaré Brandt.
« Les deux pages étaient hébergées dans le stockage en nuage de Microsoft, ce qui lui donne peut-être un sentiment d’authenticité (non acquise), et les fichiers .appinstaller et .appbundle étaient hébergés à la racine du stockage de chaque page Web. »
Cependant, au lieu de pointer vers un document PDF, le bouton « Aperçu PDF » sur le site d’atterrissage de phishing ouvre une URL avec un ms-appinstaller : préfixe.
Lorsque vous cliquez sur le bouton, le navigateur affichera d’abord un avertissement demandant à la victime si elle souhaite autoriser le site à ouvrir App Installer. Cependant, la plupart des gens l’ignoreront probablement lorsqu’ils verront un adobeview.*.*.web.core.windows.net domaine dans la barre d’adresse.
Cliquez sur « Ouvrir » dans la boîte de dialogue d’avertissement pour lancer Programme d’installation d’applications de Microsoft — une application intégrée depuis la sortie de Windows 10 version 1607 en août 2016 — pour déployer le logiciel malveillant sur l’appareil de la victime sous la forme d’un faux composant Adobe PDF, livré sous forme de bundle d’applications AppX.
Une fois lancé, App Installer commencera par télécharger le fichier .appinstaller malveillant des attaquants et un fichier .appxbundle lié contenant la charge utile finale nommée Security.exe imbriqué dans un Mettre à jourFix sous-dossier.
La charge utile télécharge et exécute un fichier DLL supplémentaire qui est lancé et génère un processus enfant qui à son tour engendre d’autres processus enfants, mettant finalement fin à la chaîne avec l’injection du code malveillant dans un processus de navigateur Edge sans tête basé sur Chromium.
Après avoir été déployé sur l’appareil infecté, BazarLoader commencera à collecter les informations système (par exemple, disque dur, processeur, carte mère, RAM, hôtes actifs sur le réseau local avec des adresses IP publiques).
Ces informations sont envoyées au serveur de commande et de contrôle, camouflées sous forme de cookies délivrés via les en-têtes HTTPS GET ou POST.
« Les logiciels malveillants fournis dans les packages d’installation d’applications ne sont pas couramment observés dans les attaques. Malheureusement, maintenant que le processus a été démontré, il est susceptible d’attirer un plus grand intérêt », a déclaré Brandt.
« Les entreprises de sécurité et les fournisseurs de logiciels doivent mettre en place des mécanismes de protection pour le détecter et le bloquer et empêcher les attaquants d’abuser des certificats numériques. »
Vous trouverez sur Page Github des SophosLabs.
Microsoft a supprimé les pages utilisées par les attaquants pour héberger des fichiers malveillants dans ces attaques le 4 novembre, après avoir été averti par Sophos.