Η Microsoft απενεργοποιεί ένα από τα δικά της εργαλεία λογισμικού μετά από πολλαπλές επιθέσεις κακόβουλου λογισμικού

Η

Microsoft

έχει απενεργοποιήσει το πρόγραμμα χειρισμού πρωτοκόλλου ms-appinstaller ως προεπιλογή, αφού βρήκε νέα στοιχεία για χάκερ που τον χρησιμοποιούν για την ανάπτυξη κακόβουλου λογισμικού.

“Η παρατηρούμενη δραστηριότητα παράγοντα απειλής καταχράται την τρέχουσα

εφαρμογή

του χειριστή πρωτοκόλλου ms-appinstaller ως φορέα πρόσβασης για κακόβουλο λογισμικό που μπορεί να οδηγήσει σε διανομή ransomware”, δήλωσε η Microsoft σε μια νέα

συμβουλευτική για την ασφάλεια

.

Επιπλέον, ο γίγαντας του Redmond είδε χάκερ να πουλούν κιτ κακόβουλου λογισμικού στον σκοτεινό ιστό, τα οποία χρησιμοποιούν τη μορφή αρχείου MSIX και τον χειριστή πρωτοκόλλου ms-appinstaller.

Τέσσερις ηθοποιοί απειλών

Προφανώς, οι φορείς απειλών δημιουργούν κακόβουλες ψεύ

τι

κες διαφημίσεις για νόμιμο και δημοφιλές λογισμικό, για να ανακατευθύνουν τα θύματα σε ιστότοπους που βρίσκονται υπό τον έλεγχό τους. Εκεί, τους ξεγελούν για να κατεβάσουν κακόβουλο λογισμικό. Ένας δεύτερος φορέας διανομής είναι το phishing μέσω του Microsoft Teams, είπε η εταιρεία.

«Οι φορείς απειλών πιθανότατα έχουν επιλέξει το διάνυσμα χειρισμού πρωτοκόλλου ms-appinstaller επειδή μπορεί να παρακάμψει μηχανισμούς που έχουν σχεδιαστεί για να βοηθούν τους χρήστες να προστατεύονται από κακόβουλο λογισμικό, όπως το

Microsoft Defender

SmartScreen και οι ενσωματωμένες προειδοποιήσεις προγράμματος περιήγησης για λήψεις εκτελέσιμων μορφών αρχείων», αναφέρει η συμβουλευτική.

Από τα μέσα Νοεμβρίου του τρέχοντος έτους, τουλάχιστον τέσσερις παράγοντες απειλών έκαναν κατάχρηση της υπηρεσίας App Installer, εξήγησε περαιτέρω η Microsoft, με αυτούς τους Storm-0569, Storm-1113, Sangria Tempest (AKA FIN7) και Storm-1674. Ο πρώτος είναι ένας μεσίτης πρόσβασης που συνήθως παραχωρεί την πρόσβαση στο Storm-0506, το οποίο στη συνέχεια αναπτύσσει το Black Basta ransomware. Το FIN7, το οποίο οι ερευνητές παρατήρησαν επίσης ότι μιμείται τραπεζικό λογισμικό νωρίτερα αυτή την εβδομάδα, χρησιμοποίησε την υπηρεσία App Installer για να απορρίψει το Gracewire, ενώ το Storm-1674 μεταμφιέζεται ως Microsoft OneDrive και SharePoint μέσω μηνυμάτων του Teams.

Το πρόγραμμα χειρισμού είναι απενεργοποιημένο στην έκδοση του App Installer 1.21.3421.0 ή νεότερη.

Δεν είναι η πρώτη φορά που έγινε κατάχρηση των αρχείων πακέτων εφαρμογών MSIX Windows στη διανομή κακόβουλου λογισμικού,


TheHackerNews


λέει. Τον Οκτώβριο του 2023, η Elastic Security Labs εντόπισε τέτοια αρχεία για το

Google

Chrome, το Microsoft Edge, το Brave, το Grammarly και το Cisco Webex που χρησιμοποιούνται για τη διανομή ενός προγράμματος φόρτωσης κακόβουλου λογισμικού με το όνομα GHOSTPULSE. Επιπλέον, η Microsoft απενεργοποίησε τον χειριστή μία φορά στο παρελθόν, τον Φεβρουάριο του περασμένου έτους.