Microsoft a annoncé jeudi qu’il désactivait à nouveau le gestionnaire de protocole ms-appinstaller par défaut suite à son abus par plusieurs acteurs malveillants pour distribuer des logiciels malveillants.
« L’activité observée des acteurs malveillants abuse de la mise en œuvre actuelle du gestionnaire de protocole ms-appinstaller comme vecteur d’accès pour les logiciels malveillants pouvant conduire à la distribution de rançongiciels », a déclaré l’équipe Microsoft Threat Intelligence. dit.
Il a en outre noté que plusieurs cybercriminels proposent à la vente un kit de logiciels malveillants en tant que service qui exploite le format de fichier MSIX et le gestionnaire de protocole ms-appinstaller. Le changements sont entrés en vigueur dans la version 1.21.3421.0 ou supérieure d’App Installer.
Les attaques prennent la forme de packages d’applications MSIX malveillants signés distribués via Microsoft Teams ou de publicités malveillantes pour des logiciels populaires légitimes sur des moteurs de recherche comme Google.
De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total
Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.
Au moins quatre groupes de hackers différents motivés par l’argent ont été observés profitant du service App Installer depuis la mi-novembre 2023, l’utilisant comme point d’entrée pour une activité de ransomware humaine de suivi –
- Tempête-0569un courtier d’accès initial qui propage BATLOADER via un empoisonnement par l’optimisation des moteurs de recherche (SEO) avec des sites usurpant Zoom, Tableau, TeamViewer et AnyDesk, et utilise le malware pour diffuser Cobalt Strike et transférer l’accès à Storm-0506 pour le déploiement du ransomware Black Basta.
- Tempête-1113un courtier d’accès initial qui utilise de faux installateurs MSIX se faisant passer pour Zoom pour distribuer EugenLoader (alias FakeBat), qui sert de canal pour une variété de logiciels malveillants voleurs et de chevaux de Troie d’accès à distance.
- Tempête de Sangria (alias Carbon Spider et FIN7), qui utilise EugenLoader de Storm-1113 pour lâcher Carbanak qui, à son tour, délivre un implant appelé Gracewire. Alternativement, le groupe s’est appuyé sur les publicités Google pour inciter les utilisateurs à télécharger des packages d’applications MSIX malveillants à partir de pages de destination malveillantes afin de distribuer POWERTRASH, qui est ensuite utilisé pour charger NetSupport RAT et Gracewire.
- Tempête-1674un courtier d’accès initial qui envoie de fausses pages de destination se faisant passer pour Microsoft OneDrive et SharePoint via des messages Teams à l’aide de l’outil TeamsPhisher, invitant les destinataires à ouvrir des fichiers PDF qui, lorsqu’ils sont cliqués, les invitent à mettre à jour leur Adobe Acrobat Reader pour télécharger un programme d’installation MSIX malveillant qui contient des charges utiles SectopRAT ou DarkGate.
Microsoft a décrit Storm-1113 comme une entité qui s’intéresse également au « en tant que service », fournissant des installateurs malveillants et des cadres de pages de destination imitant des logiciels bien connus à d’autres acteurs malveillants tels que Sangria Tempest et Storm-1674.
En octobre 2023, Elastic Security Labs a détaillé une autre campagne dans laquelle de faux fichiers de packages d’applications MSIX Windows pour Google Chrome, Microsoft Edge, Brave, Grammarly et Cisco Webex ont été utilisés pour distribuer un chargeur de malware baptisé GHOSTPULSE.
Ce n’est pas la première fois que Microsoft désactive le gestionnaire de protocole MSIX ms-appinstaller dans Windows. En février 2022, le géant de la technologie a pris la même mesure pour empêcher les acteurs malveillants de l’utiliser comme arme pour livrer Emotet, TrickBot et Bazaloader.
« Les acteurs malveillants ont probablement choisi le vecteur de gestionnaire de protocole ms-appinstaller car il peut contourner les mécanismes conçus pour protéger les utilisateurs contre les logiciels malveillants, tels que Microsoft Defender SmartScreen et les avertissements intégrés du navigateur pour les téléchargements de formats de fichiers exécutables », a déclaré Microsoft.