Sophos 研究人員對該惡意軟體以及攻擊策略和手法進行了深入分析。這份發表在 SophosLabs Uncut 上的技術部落格詳細介紹了他們的發現。

該部落格揭露了點擊電子郵件連結後將會開展的攻擊鏈：

‧ 會出現一個濫用 Adobe 商標的頁面，並要求使用者按下 [預覽 PDF] 的按鈕
‧ 但是按鈕連結並不是以預期的 https:// 開頭，而是以前置詞 ms-appinstaller 開頭
‧ 該不尋常的前置詞會觸發瀏覽器呼叫一個名為 AppInstaller.exe 的工具，然後下載並執行連結到另一端的任何內容
‧ 在這次攻擊中，連結的另一端是一個名為 Adobe.appinstaller 的文字檔，該檔案又指向另一個 URL，連向到一個含惡意軟體的大型檔案
‧ 該應用程式似乎使用數位憑證進行簽章，以便看起來值得信任且合法
‧ 如果使用者授予權限，則惡意軟體就會被安裝進來
‧ 該惡意軟體的行為被識別為 BazarBackdoor。它做的第一件事就是分析受感染的電腦，找出公開 IP 地址並將資訊回傳給它的命令和控制伺服器
‧ 然後，受感染的裝置會被加入到 BazarBackdoor 殭屍網路並安裝後門植入程式，以便在需要時進一步傳送惡意裝載

Sophos 首席研究員 Andrew Brandt 表示：
「把包含最新攻擊手法的惡意電子郵件寄到安全公司，應該是操作者的失策。這種藏在應用程式安裝程式套件中的惡意軟體並不常見。不幸的是，既然這種方法已經出現，它很可能會引起更多人的興趣。安全公司和軟體廠商需要採取適當的保護機制來偵測和阻止它，避免攻擊者濫用數位簽章。」
Sophos 首席研究科學家 Paul Ducklin 表示：

「與大多數此類後門程式一樣，該惡意軟體蓄意包含了一個可以下載和安裝更多惡意軟體的功能。因此，這種攻擊的危險在於，儘管這次感染看起來、感覺起來都像是攻擊鏈的結束，但實際上只是下一次攻擊的開始。而且您無法預知接下來會出現什麼惡意軟體。此外，人們很容易誤認被偷的設定資料「基本上無害」，例如只是每部受感染裝置的 RAM 和 CPU 資訊。但犯罪分子喜歡知道這些細節，因為這有助於他們判斷殭屍網路中的哪些電腦最適合用來進行哪種類型的惡意活動。」

SophosLabs 已在 Github 頁面上發布了與此次攻擊相關的入侵指標 (IoC)。Microsoft 於 2021 年 11 月 4 日星期四關閉了多個託管惡意檔案的頁面。

Sophos Naked Security 上詳細介紹了攻擊者使用的社交工程技術，並提供人們應該如何保護自己免受此一威脅的建議

- 新聞稿有效日期，至2021/12/18為止

上一篇：台灣智慧醫療隱形冠軍! 諾亞克科技獲北市府「亮點企業」唯一雙獎肯定
下一篇：捷報不斷! 研揚產品、品質至上，榮獲第26屆國家品質獎