{"id":1111663,"date":"2023-12-29T07:28:50","date_gmt":"2023-12-29T07:28:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-desactiva-el-protocolo-de-instalacion-de-aplicaciones-msix-ampliamente-utilizado-en-ataques-de-malware\/"},"modified":"2023-12-29T07:28:53","modified_gmt":"2023-12-29T07:28:53","slug":"microsoft-desactiva-el-protocolo-de-instalacion-de-aplicaciones-msix-ampliamente-utilizado-en-ataques-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-desactiva-el-protocolo-de-instalacion-de-aplicaciones-msix-ampliamente-utilizado-en-ataques-de-malware\/","title":{"rendered":"Microsoft desactiva el protocolo de instalaci\u00f3n de aplicaciones MSIX ampliamente utilizado en ataques de malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Malware\/Seguridad de terminales<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Microsoft-desactiva-el-protocolo-de-instalacion-de-aplicaciones-MSIX-ampliamente.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Microsoft dijo el jueves que una vez m\u00e1s est\u00e1 deshabilitando el <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/learn.microsoft.com\/windows\/msix\/app-installer\/installing-windows10-apps-web\" target=\"_blank\">controlador de protocolo ms-appinstaller<\/a> de forma predeterminada luego de su abuso por parte de m\u00faltiples actores de amenazas para distribuir malware.<\/p>\n<p>&#8220;La actividad observada del actor de amenazas abusa de la implementaci\u00f3n actual del controlador de protocolo ms-appinstaller como vector de acceso para malware que puede conducir a la distribuci\u00f3n de ransomware&#8221;, dijo el equipo de Microsoft Threat Intelligence. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/12\/28\/financially-motivated-threat-actors-misusing-app-installer\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Adem\u00e1s, se\u00f1al\u00f3 que varios ciberdelincuentes est\u00e1n ofreciendo a la venta un kit de malware como un servicio que aprovecha el formato de archivo MSIX y el controlador del protocolo ms-appinstaller.  El <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/msrc.microsoft.com\/blog\/2023\/12\/microsoft-addresses-app-installer-abuse\/\" target=\"_blank\">cambios<\/a> han entrado en vigor en la versi\u00f3n 1.21.3421.0 o superior del instalador de aplicaciones.<\/p>\n<p>Los ataques toman la forma de paquetes de aplicaciones MSIX maliciosas firmadas que se distribuyen a trav\u00e9s de Microsoft Teams o anuncios maliciosos de software popular leg\u00edtimo en motores de b\u00fasqueda como Google.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/privilege-escalation-art?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>De USUARIO a ADMIN: aprenda c\u00f3mo los piratas inform\u00e1ticos obtienen el control total<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">Descubra las t\u00e1cticas secretas que utilizan los piratas inform\u00e1ticos para convertirse en administradores, c\u00f3mo detectarlos y bloquearlos antes de que sea demasiado tarde.  Reg\u00edstrese hoy para nuestro seminario web.<\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/privilege-escalation-art?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>Se ha observado que al menos cuatro grupos de piratas inform\u00e1ticos diferentes con motivaci\u00f3n financiera aprovechan el servicio App Installer desde mediados de noviembre de 2023, us\u00e1ndolo como punto de entrada para actividades posteriores de ransomware operadas por humanos.<\/p>\n<ul>\n<li><strong>Tormenta-0569<\/strong>un agente de acceso inicial que propaga BATLOADER a trav\u00e9s del envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) con sitios que suplantan Zoom, Tableau, TeamViewer y AnyDesk, y utiliza el malware para entregar Cobalt Strike y transferir el acceso a Storm-0506 para la implementaci\u00f3n del ransomware Black Basta.<\/li>\n<\/ul>\n<ul>\n<li><strong>Tormenta-1113<\/strong>un agente de acceso inicial que utiliza instaladores MSIX falsos haci\u00e9ndose pasar por Zoom para distribuir EugenLoader (tambi\u00e9n conocido como FakeBat), que act\u00faa como conducto para una variedad de malware ladr\u00f3n y troyanos de acceso remoto.<\/li>\n<\/ul>\n<ul>\n<li><strong>Tempestad de sangr\u00eda<\/strong> (tambi\u00e9n conocido como Carbon Spider y FIN7), que utiliza EugenLoader de Storm-1113 para soltar Carbanak que, a su vez, coloca un implante llamado Gracewire.  Alternativamente, el grupo ha recurrido a los anuncios de Google para atraer a los usuarios a descargar paquetes de aplicaciones MSIX maliciosas desde p\u00e1ginas de destino fraudulentas para distribuir POWERTRASH, que luego se utiliza para cargar NetSupport RAT y Gracewire.<\/li>\n<\/ul>\n<ul>\n<li><strong>Tormenta-1674<\/strong>un agente de acceso inicial que env\u00eda p\u00e1ginas de destino falsas haci\u00e9ndose pasar por Microsoft OneDrive y SharePoint a trav\u00e9s de mensajes de Teams utilizando la herramienta TeamsPhisher, instando a los destinatarios a abrir archivos PDF que, al hacer clic, les solicita que actualicen su Adobe Acrobat Reader para descargar un instalador MSIX malicioso que contiene cargas \u00fatiles de SectopRAT o DarkGate.<\/li>\n<\/ul>\n<p>Microsoft describi\u00f3 a Storm-1113 como una entidad que tambi\u00e9n incursiona en &#8220;como servicio&#8221;, proporcionando instaladores maliciosos y marcos de p\u00e1ginas de destino que imitan software conocido a otros actores de amenazas como Sangria Tempest y Storm-1674.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En octubre de 2023, Elastic Security Labs detall\u00f3 otra campa\u00f1a en la que se utilizaron archivos falsos de paquetes de aplicaciones MSIX de Windows para Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex para distribuir un cargador de malware denominado GHOSTPULSE.<\/p>\n<p>Esta no es la primera vez que Microsoft deshabilita el controlador de protocolo MSIX ms-appinstaller en Windows.  En febrero de 2022, el gigante tecnol\u00f3gico tom\u00f3 la misma medida para evitar que los actores de amenazas lo utilizaran como arma para entregar Emotet, TrickBot y Bazaloader.<\/p>\n<p>&#8220;Los actores de amenazas probablemente hayan elegido el vector de controlador de protocolo ms-appinstaller porque puede eludir los mecanismos dise\u00f1ados para ayudar a mantener a los usuarios a salvo del malware, como Microsoft Defender SmartScreen y las advertencias integradas del navegador para descargas de formatos de archivos ejecutables&#8221;, dijo Microsoft.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/microsoft-disables-msix-app-installer.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de diciembre de 2023\ue804Sala de redacci\u00f3nMalware\/Seguridad de terminales Microsoft dijo el jueves que una vez m\u00e1s est\u00e1<\/p>\n","protected":false},"author":1,"featured_media":1111664,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20698,8343,2346,4661,4664,67735,4662,31616,4668,201033,4669,7983,212731,4654,201031,4659,4653,4655,10413,4666,4665,201032,932,4660],"class_list":["post-1111663","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ampliamente","tag-aplicaciones","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-desactiva","tag-filtracion-de-datos","tag-instalacion","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-microsoft","tag-msix","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-protocolo","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-utilizado","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1111663","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1111663"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1111663\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1111664"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1111663"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1111663"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1111663"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}