Microsoft dijo el jueves que una vez más está deshabilitando el controlador de protocolo ms-appinstaller de forma predeterminada luego de su abuso por parte de múltiples actores de amenazas para distribuir malware.
«La actividad observada del actor de amenazas abusa de la implementación actual del controlador de protocolo ms-appinstaller como vector de acceso para malware que puede conducir a la distribución de ransomware», dijo el equipo de Microsoft Threat Intelligence. dicho.
Además, señaló que varios ciberdelincuentes están ofreciendo a la venta un kit de malware como un servicio que aprovecha el formato de archivo MSIX y el controlador del protocolo ms-appinstaller. El cambios han entrado en vigor en la versión 1.21.3421.0 o superior del instalador de aplicaciones.
Los ataques toman la forma de paquetes de aplicaciones MSIX maliciosas firmadas que se distribuyen a través de Microsoft Teams o anuncios maliciosos de software popular legítimo en motores de búsqueda como Google.
De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total
Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.
Se ha observado que al menos cuatro grupos de piratas informáticos diferentes con motivación financiera aprovechan el servicio App Installer desde mediados de noviembre de 2023, usándolo como punto de entrada para actividades posteriores de ransomware operadas por humanos.
- Tormenta-0569un agente de acceso inicial que propaga BATLOADER a través del envenenamiento de optimización de motores de búsqueda (SEO) con sitios que suplantan Zoom, Tableau, TeamViewer y AnyDesk, y utiliza el malware para entregar Cobalt Strike y transferir el acceso a Storm-0506 para la implementación del ransomware Black Basta.
- Tormenta-1113un agente de acceso inicial que utiliza instaladores MSIX falsos haciéndose pasar por Zoom para distribuir EugenLoader (también conocido como FakeBat), que actúa como conducto para una variedad de malware ladrón y troyanos de acceso remoto.
- Tempestad de sangría (también conocido como Carbon Spider y FIN7), que utiliza EugenLoader de Storm-1113 para soltar Carbanak que, a su vez, coloca un implante llamado Gracewire. Alternativamente, el grupo ha recurrido a los anuncios de Google para atraer a los usuarios a descargar paquetes de aplicaciones MSIX maliciosas desde páginas de destino fraudulentas para distribuir POWERTRASH, que luego se utiliza para cargar NetSupport RAT y Gracewire.
- Tormenta-1674un agente de acceso inicial que envía páginas de destino falsas haciéndose pasar por Microsoft OneDrive y SharePoint a través de mensajes de Teams utilizando la herramienta TeamsPhisher, instando a los destinatarios a abrir archivos PDF que, al hacer clic, les solicita que actualicen su Adobe Acrobat Reader para descargar un instalador MSIX malicioso que contiene cargas útiles de SectopRAT o DarkGate.
Microsoft describió a Storm-1113 como una entidad que también incursiona en «como servicio», proporcionando instaladores maliciosos y marcos de páginas de destino que imitan software conocido a otros actores de amenazas como Sangria Tempest y Storm-1674.
En octubre de 2023, Elastic Security Labs detalló otra campaña en la que se utilizaron archivos falsos de paquetes de aplicaciones MSIX de Windows para Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex para distribuir un cargador de malware denominado GHOSTPULSE.
Esta no es la primera vez que Microsoft deshabilita el controlador de protocolo MSIX ms-appinstaller en Windows. En febrero de 2022, el gigante tecnológico tomó la misma medida para evitar que los actores de amenazas lo utilizaran como arma para entregar Emotet, TrickBot y Bazaloader.
«Los actores de amenazas probablemente hayan elegido el vector de controlador de protocolo ms-appinstaller porque puede eludir los mecanismos diseñados para ayudar a mantener a los usuarios a salvo del malware, como Microsoft Defender SmartScreen y las advertencias integradas del navegador para descargas de formatos de archivos ejecutables», dijo Microsoft.