Attenzione ai falsi App Installer

Alcuni malintenzionati stanno sfruttando il Microsoft App Installer cercando di colpire gli utenti di Windows. Nello specifico, una nuova campagna di spam e-mail sta diffondendo il malware BazarLoader con la scusa di prendere visione di un documento in formato PDF. Per aprire il documento si viene invitati a scaricare e installare false app come Adobe PDF Component infette in formato .appxbundle, come riportano gli esperti di sicurezza di Sophos.

I messaggi invitano il destinatario a fare click su un sito Web che, presumibilmente, è il luogo in cui è stato pubblicato il reclamo affinché tu possa esaminarlo. Ma c’è qualcosa che non va in questo collegamento: invece di essere preceduto dall’atteso https://, il collegamento inizia invece con quello che era un prefisso ms-appinstaller sconosciuto (almeno per me). Durante l’esecuzione di un’infezione vera e propria mi sono reso conto che questa costruzione di un URL fa sì che il browser (nel mio caso, il browser Microsoft Edge su Windows 10) invochi uno strumento utilizzato dall’applicazione Windows Store, chiamato AppInstaller.exe, per scaricare ed eseguire qualunque cosa ci sia dall’altra parte di quel collegamento.

Il finto installer di Adobe PDF Component infetto risulta firmato e certificato, per tanto viene installato senza problemi su Windows per diffondere il malware sui PC dei malcapitati.

Il file .appxbundle contiene un eseguibile dannoso annidato nel file Adobe_1.7.0.0_x64.appx archiviato al suo interno. Quel file è anche un archivio .zip e contiene molti degli stessi file xml, oltre a una sottocartella denominata UpdateFix all’interno della quale si trova il payload dannoso, SecurityFix.exe.