Microsoft по умолчанию отключила обработчик протокола ms-appinstaller после обнаружения новых доказательств того, что хакеры используют его для доставки вредоносного ПО.
«Наблюдаемая активность злоумышленников злоупотребляет текущей реализацией обработчика протокола ms-appinstaller в качестве вектора доступа для вредоносных программ, что может привести к распространению программ-вымогателей», — говорится в новом отчете Microsoft. Уведомление о безопасности.
Кроме того, редмондский гигант заметил, что хакеры в даркнете продавали комплекты вредоносного ПО, использующие формат файлов MSIX и обработчик протокола ms-appinstaller.
Четыре субъекта угроз
Судя по всему, злоумышленники создают вредоносную фейковую рекламу легального и популярного программного обеспечения, чтобы перенаправить жертв на подконтрольные им веб-сайты. Там вас обманом заставляют загрузить вредоносное ПО. По данным компании, второй путь распространения — это фишинг через Microsoft Teams.
«Злоумышленники, вероятно, выбрали вектор обработчика протокола ms-appinstaller, потому что он может обходить механизмы, предназначенные для защиты пользователей от вредоносного ПО, такие как: «Например, Microsoft Defender SmartScreen и встроенные предупреждения браузера о загрузке форматов исполняемых файлов», — говорится в рекомендации.
По данным Microsoft, с середины ноября этого года как минимум четыре злоумышленника злоупотребили службой App Installer: Storm-0569, Storm-1113, Sangria Tempest (также известная как FIN7) и Storm-1674. Первый является брокером доступа, который обычно передает доступ к Storm-0506, который затем развертывает программу-вымогатель Black Basta. FIN7, которую исследователи также заметили ранее на этой неделе, выдавала себя за банковское программное обеспечение, использовала службу App Installer для удаления Gracewire, а Storm-1674 выдавал себя за Microsoft OneDrive и SharePoint через сообщения Teams.
Обработчик отключен в установщике приложений версии 1.21.3421.0 или более поздней.
Это не первый случай, когда файлы пакетов приложений MSIX для Windows используются для распространения вредоносного ПО. TheHackerНовости говорит. В октябре 2023 года лаборатория Elastic Security Labs обнаружила такие файлы для Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex, которые используются для распространения вредоносного загрузчика под названием GHOSTPULSE. Кроме того, Microsoft отключила обработчик еще в феврале прошлого года.
Больше от TechRadar Pro
