BazarLoader: Hackers abusam de vulnerabilidade do Windows 10 para espalhar malware


Pesquisadores da empresa de cibersegurança Sophos detectaram que hackers estão abusando de uma falha nos instaladores do Windows 10 para disseminar malwares da família BazarLoader.

A nova campanha de disseminação de programas maliciosos, que começa em distribuição de emails de spam, foi descoberta após um dos próprios funcionários da companhia ser alvo do ataque. Nas mensagens, técnicas de engenharia social eram utilizadas para convencer o alvo a levar vítimas a clicar em uma URL — que redirecionava para o download.

No entanto, o diferencial deste malware estava no método de instalação: o link levava a um programa chamado “AppInstaller.exe”, usado pela própria loja do Windows, para baixar e executar “seja lá o que estiver do outro lado do servidor”. Normalmente, isso corresponde a programas seguros e validados pela empresa, porém, neste caso fazia a instalação do BazarLoader, ou do BazarBackdoor.

Segundo os pesquisadores, os cibercriminosos usaram dois endereços de web diferentes para a hospedagem da página falsa, ambos hospedados no próprio servidor de nuvem da Microsoft. A estimativa é de que o uso reiterado de tecnologias da empresa de Gates foi planejado para reforçar a autenticidade do instalador.

BazarLoader roubava dados e abria porta para mais malwares

Segundo a Sophos, após o abuso de segurança do instalador do Windows 10, os programas da família BazarLoader fazem tudo o que se espera de um malware: perfilam o sistema instalado, detectam o IP da máquina e permitem que a Central de Comando (C2) instale o que bem entender — sem autorização do usuário.

Curiosamente, os pesquisadores reconhecem que a decisão da campanha não foi a mais sábia por parte dos cibercriminosos:

“Spammear uma empresa de segurança com emails maliciosos contendo uma técnica nova de ataque pode não ter sido a melhor decisão tomada pelos operadores”, afirma Andrew Brandt, pesquisador-sênior da Sophos.

Para a empresa, é esperado que, uma vez que a brecha tenha sido descoberta, o AppInstaller.exe passe a vigorar em mais ataques, o que deve despertar a atenção de criminosos e de firmas de cibersegurança.

Comentários

Postagens mais visitadas