Attention, un nouveau puissant virus est en circulation !

Une famille de malwares connue sous le nom de BazazBackdoor ou BazarLoader est en train de circuler à l’heure actuelle. En effet, ce groupe de hackers a lancé une nouvelle opération d’attaque par le biais d’une campagne de spams malveillants. La campagne diffuse le virus en s’inspirant d’un nouveau mécanisme. Il s’agit du protocole appxbundle, utilisé par le programme d’installation de Windows 10 App.

Attaque d'un malware sur plusieurs réseaux

Selon les chercheurs des SophosLabs, il semblerait que ce n’est pas le seul mécanisme utilisé dans la campagne. Par ailleurs, à la date du jeudi dernier, soit le 4 novembre 2021, certains employés de Sophos ont reçu des courriels concernant une plainte apparente d’un client à leur encontre. Le libellé du message était menaçant.

D’après les informations contenues dans le courriel, il provient d’un responsable de la société. L’émetteur s’est directement adressé aux différents destinataires par leur nom et celui de l’entreprise.

La méthode d’installation du logiciel malveillant décryptée

Une fois que le destinataire reçoit le courriel, il est invité à cliquer sur un lien contenu dans le message. Pour les employés de Sophos, le lien les invitait à se rendre sur un site web sur lequel la plainte a été formulée.

Les chercheurs de Sophos ont effectué une analyse minutieuse du malware ainsi que des tactiques utilisées par les attaquants. Ils ont publié sur SophosLabs Uncut les conclusions tirées de leurs analyses. La page qui apparait après avoir cliqué sur le lien ironise la marque Adobe et demande aux utilisateurs de cliquer sur un bouton marqué « Aperçu du PDF ».

Contrairement aux autres liens, celui de ce bouton ne commence pas par le préfixe connu de tous « https:// ». Il commence plutôt par « ms-appinstaller » et déclenche par le navigateur l’appel d’un outil appelé « AppInstaller.exe » afin de le télécharger et de l’exécuter. L’autre extrémité du lien correspond à un fichier nommé « Adobe.appinstaller » qui à son tour redirige vers une autre URL où se trouve un fichier plus volumineux et contenant le logiciel malveillant. Si l’utilisateur donne son accord, le malware est installé.

Une lettre adressée directement au personnel de SophosLabs

Les informations contenues dans les courriels laissent croire qu’ils proviennent d’un responsable de la société. L’émetteur s’est directement adressé aux différents destinataires par leur nom et celui de l’entreprise.

Andrew Brandt, chercheur principal chez Sophos, a expliqué que les logiciels malveillants qui se trouvent dans des paquets d’installations ne sont pas souvent utilisés dans les effractions informatiques.

En guise de précaution, SophosLabs a publié des indicateurs de compromission relatifs à cette agression cybercriminelle sur leur page Github. Microsoft, quant à lui, a désactivé les pages hébergeant les fichiers malveillants.