Categories: SicherheitVirus

BazarBackdoor nutzt Windows-10-App-Funktion für Cyberangriffe

Forscher von Sophos Labs haben eine neue Angriffsmethode analysiert, die sich gegen Nutzer von Windows 10 richtet. Demnach sind derzeit Phishing-E-Mails im Umlauf, die schädliche Links enthalten. Ziel der Angreifer ist es, über eine legitime Funktion des Windows 10 App Installer die Malware BazarBackdoor einzuschleusen.

Sophos wurde auf die Betrugsmasche aufmerksam, nachdem eigene Mitarbeiter das Ziel der Hacker geworden waren. Sie erhielten Nachrichten von einem angeblichen Sophos-Manager, der wissen wollte, warum die Forscher nicht auf eine Beschwerde eines Kunden reagierten. Weitere Informationen sollte eine verlinkte PDF-Datei liefern.

Der Link war jedoch ein Teil der neuen Angriffstechnik, bei der der App-Installer-Prozess von Windows 10 zur Verbreitung von Schadsoftware benutzt wird. Konkret führte der Link zu einer gefälschten Adobe-Website. Dort sollte ein Opfer auf einen Button klicken, um sich eine Vorschau der PDF-Datei anzeigen zu lassen. Ein Mouseover über den Button enthüllte den Forschern jedoch den Prefix “ms-appinstaller”.

“Beim Durchlaufen einer tatsächlichen Infektion habe ich festgestellt, dass diese Konstruktion einer URL den Browser (in meinem Fall Microsofts Edge-Browser auf Windows 10) dazu veranlasst, ein Tool namens AppInstaller.exe aufzurufen, das von der Windows Store-Anwendung verwendet wird, um das herunterzuladen und auszuführen, was sich am anderen Ende des Links befindet”, erklärte Sophos-Forscher Andrew Brandt.

In dem konkreten Fall warnte Windows 10 wie vorgesehen vor der Installation einer Software, die allerdings mit einem gültigen Zertifikat digital signiert war. Mit der Erteilung der Zustimmung zur Installation der “Adobe PDF Component” genannten Software gelangte dann aber eben keine PDF-Komponente zum Anzeigen der Vorschau, sondern die Malware BazarBackdoor auf das angegriffene System.

BazarBackdoor kommuniziert laut Sophos per HTTPS und ist in der Lage, Systemdaten auszuspähen. Die Schadsoftware wird mit Trickbot in Verbindung gebracht und möglicherweise sogar zur Verbreitung der Ransomware Ryuk benutzt.

“Malware, die in Installationspaketen von Anwendungen enthalten ist, wird nicht häufig bei Angriffen beobachtet”, ergänzte Brandt. “Jetzt, da das Verfahren demonstriert wurde, dürfte es leider auf größeres Interesse stoßen. Sicherheitsunternehmen und Softwarehersteller müssen über Schutzmechanismen verfügen, um sie zu erkennen und zu blockieren und die Angreifer daran zu hindern, digitale Zertifikate zu missbrauchen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bericht: Apple verschiebt Pläne für VR/AR-Headset

Die Entwicklung verzögert sich um mehrere Monate. Apple kämpft angeblich mit der Kamera und zu…

15 Stunden ago

Russische Behörden zerschlagen Ransomware-Gang REvil

Ermittler durchsuchen 25 Objekte und beschlagnahmen Computer, Kryptowährungen und Bargeld in Millionenhöhe. Ein Gericht in…

17 Stunden ago

Spezifikationen für PCIe 6.0 versprechen doppelte Bandbreite

Sie steigt bei 16 Lanes auf bis zu 128 GByte/s. Pro Lane sind bis zu…

4 Tagen ago

Windows 11: Jüngste Vorabversion aktualisiert Bedienoberfläche

Elemente wie Lautstärke und Helligkeit erhalten neue Flyouts im Design von Windows 11. Bei der…

4 Tagen ago

Apple beseitigt Zero-Day-Lücke in HomeKit

Der Fehler betrifft alle unterstützten iPhones und iPads. Die Schwachstelle in HomeKit ist Apple schon…

5 Tagen ago

Canalys: PC-Markt wächst 2021 um 15 Prozent

Es ist das größte Jahreswachstum seit 2012. Im vierten Quartal legt der Markt allerdings nur…

5 Tagen ago