App Installer trên Windows 10 bị lợi dụng để cài mã độc "BazarLoader"

[trungthuc]

Nhóm hacker TrickBot được cho là đang lợi dụng App Installer của Windows 10 để phát tán mã độc BazarLoader của chúng trên các hệ thống mà chúng nhắm vào.

BazarLoader (hay còn được biết đến với tên gọi BazarBackdoor, BEERBOT, KEGTAP và Team9Backdoor là một loại Trojan âm thầm xâm nhập vào mạng lưới của các mục tiêu có giá trị cao. Sau đó, những kẻ đứng đằng sau BazarLoader sẽ khai thác những tài sản mà chúng xâm phạm hoặc bán lại quyền truy cập cho tội phạm mạng khác.

BazarLoader còn mang theo các mã độc khác chẳng hạn như Cobalt Strike. Bằng cách này, chúng có thể giúp kẻ tấn công cài đặt thêm những phần mềm độc hai, nguy hiểm khác như ransomware Ryuk.

Trong chiến dịch gần đây nhất, BazarLoader khủng bố nạn nhân bằng các email lừa đảo. Các email đều chứa những nội dung mang tính thúc giục, cấp bách để lừa nạn nhân nhấp vào link chứa mã độc trong mail. Đường link cũng được tội phạm mạng sửa lại, gán vào những tên miền uy tín như Microsoft, Adobe...


Sau khi nhấn vào link, nút "Preview PDF" sẽ mở ra một URL có "tiền tố" (prefix) appinstaller. Khi nhấp vào nút này, trình duyệt sẽ hiển thị lời yêu cầu nạn nhân có cho phép trang mở App Installer hay không. Hầu hết mọi người sẽ bỏ qua yêu cầu này khi nhìn vào tên miền adobeview.*.*.web.co re.windows.net trên thanh địa chỉ.


Tiếp theo, khi nạn nhân nhấn "Open" thì App Installer của Windows 10 sẽ được triển khai và phần mềm độc hại sẽ được cài trên máy của nạn nhân dưới dạng một Adobe PDF Component giả mạo. Thành phần này được phân phối dưới dạng gói ứng dụng AppX.

Một loạt các thành phần, các tập khác sẽ được tải xuống để hoàn tất quá trình cài đặt BazarLoader.

Sau khi triển khai xong, BazarLoader sẽ bắt đầu thu thập thông tin như ổ lưu trữ, vi xử lý, bo mạch chủ, RAM và địa chỉ IP... Những thông tin này sẽ được gửi về máy chủ của hacker. Càng tồn tại lâu trên máy của nạn nhân thì BazarLoader càng nguy hiểm với khả năng tấn công, đánh cắp thông tin liên tục được nâng cấp.

Sau khi nhận được thông báo từ Sophos, Microsoft đã tiến hành gỡ bỏ các trang mà hacker sử dụng để lưu trữ các tập tin độc hại phục vụ cho chiến dịch tấn công bằng BazarLoader.