Microsoft в четверг заявила, что снова отключает обработчик протокола ms-appinstaller по умолчанию после злоупотребления им несколькими участниками угроз для распространения вредоносного ПО.
"Наблюдаемая активность субъекта угрозы злоупотребляет текущей реализацией обработчика протокола ms-appinstaller в качестве вектора доступа для вредоносного ПО, что может привести к распространению программ-вымогателей", - сказали в Microsoft Threat Intelligence team.
Далее отмечается, что несколько киберпреступников предлагают набор вредоносных программ для продажи как услугу, использующую формат файла MSIX и обработчик протокола ms-appinstaller. Изменения вступили в силу в программе установки приложений версии 1.21.3421.0 или выше.
Атаки принимают форму подписанных вредоносных пакетов приложений MSIX, которые распространяются через Microsoft Teams, или вредоносной рекламы законного популярного программного обеспечения в поисковых системах, таких как Google.
С середины ноября 2023 года было замечено, что по меньшей мере четыре различные финансово мотивированные хакерские группы пользуются сервисом установки приложений, используя его как отправную точку для последующей деятельности программ-вымогателей, управляемых человеком -
В октябре 2023 года Elastic Security Labs подробно описала еще одну кампанию, в ходе которой поддельные файлы пакетов приложений MSIX для Windows для Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex использовались для распространения загрузчика вредоносного ПО под названием GHOSTPULSE.
Это не первый случай, когда корпорация Майкрософт отключает обработчик протокола MSIX ms-appinstaller в Windows. В феврале 2022 года технический гигант предпринял тот же шаг, чтобы помешать злоумышленникам использовать его для доставки Emotet, TrickBot и Bazaloader.
"Субъекты угрозы, вероятно, выбрали вектор обработки протокола ms-appinstaller, потому что он может обходить механизмы, разработанные для защиты пользователей от вредоносного ПО, такие как Microsoft Defender SmartScreen и встроенные предупреждения браузера о загрузке исполняемых форматов файлов", - заявили в Microsoft.
"Наблюдаемая активность субъекта угрозы злоупотребляет текущей реализацией обработчика протокола ms-appinstaller в качестве вектора доступа для вредоносного ПО, что может привести к распространению программ-вымогателей", - сказали в Microsoft Threat Intelligence team.
Далее отмечается, что несколько киберпреступников предлагают набор вредоносных программ для продажи как услугу, использующую формат файла MSIX и обработчик протокола ms-appinstaller. Изменения вступили в силу в программе установки приложений версии 1.21.3421.0 или выше.
Атаки принимают форму подписанных вредоносных пакетов приложений MSIX, которые распространяются через Microsoft Teams, или вредоносной рекламы законного популярного программного обеспечения в поисковых системах, таких как Google.
С середины ноября 2023 года было замечено, что по меньшей мере четыре различные финансово мотивированные хакерские группы пользуются сервисом установки приложений, используя его как отправную точку для последующей деятельности программ-вымогателей, управляемых человеком -
- Storm-0569, посредник начального доступа, который распространяет BATLOADER посредством поисковой оптимизации (SEO), отравляя сайтами, подделывающими Zoom, Tableau, TeamViewer и AnyDesk, и использует вредоносное ПО для доставки Cobalt Strike и передачи доступа к Storm-0506 для развертывания Black Basta ransomware.
- Storm-1113, брокер начального доступа, который использует поддельные установщики MSIX, маскирующиеся под Zoom, для распространения EugenLoader (он же FakeBat), который действует как канал для различных вредоносных программ-краж и троянов удаленного доступа.
- Sangria Tempest (он же Carbon Spider и FIN7), который использует EugenLoader от Storm-1113 для удаления Carbanak, который, в свою очередь, поставляет имплантат под названием Gracewire. В качестве альтернативы, группа полагалась на рекламу Google, чтобы заманить пользователей загружать вредоносные пакеты приложений MSIX с мошеннических целевых страниц для распространения POWERTRASH, который затем используется для загрузки NetSupport RAT и Gracewire.
- Storm-1674, посредник начального доступа, который отправляет поддельные целевые страницы, маскирующиеся под Microsoft OneDrive и SharePoint, через сообщения Teams с использованием инструмента TeamsPhisher, призывая получателей открывать PDF-файлы, при нажатии на которые им предлагается обновить Adobe Acrobat Reader для загрузки вредоносного установщика MSIX, содержащего полезные файлы SectopRAT или DarkGate.
В октябре 2023 года Elastic Security Labs подробно описала еще одну кампанию, в ходе которой поддельные файлы пакетов приложений MSIX для Windows для Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex использовались для распространения загрузчика вредоносного ПО под названием GHOSTPULSE.
Это не первый случай, когда корпорация Майкрософт отключает обработчик протокола MSIX ms-appinstaller в Windows. В феврале 2022 года технический гигант предпринял тот же шаг, чтобы помешать злоумышленникам использовать его для доставки Emotet, TrickBot и Bazaloader.
"Субъекты угрозы, вероятно, выбрали вектор обработки протокола ms-appinstaller, потому что он может обходить механизмы, разработанные для защиты пользователей от вредоносного ПО, такие как Microsoft Defender SmartScreen и встроенные предупреждения браузера о загрузке исполняемых форматов файлов", - заявили в Microsoft.
