Microsoft отключила обработчик протокола ms-appinstaller по умолчанию после того, как появились новые доказательства того, что хакеры использовали его для развертывания вредоносного ПО.
«Наблюдаемая активность злоумышленников злоупотребляет текущей реализацией обработчика протокола ms-appinstaller в качестве вектора проникновения вредоносных программ, которые могут привести к распространению программ-вымогателей», — говорится в новом выпуске Microsoft. советы по безопасности.
Кроме того, гигант из Редмонда заметил, что хакеры продают в даркнете комплекты вредоносного ПО, использующие формат файлов MSIX и обработчик протокола ms-appinstaller.
Судя по всему, злоумышленники создают вредоносную фейковую рекламу легального и популярного программного обеспечения, чтобы перенаправить жертв на подконтрольные им веб-сайты. Там их обманом заставляют загрузить вредоносное ПО. Вторым вектором распространения является фишинг через Microsoft Teams, заявили в компании.
«Злоумышленники, вероятно, выбрали вектор обработчика протокола ms-appinstaller, поскольку он может обходить механизмы, предназначенные для защиты пользователей от вредоносных программ, такие как Microsoft Defender SmartScreen и встроенные предупреждения браузера о загрузке форматов исполняемых файлов», — говорится в сообщении.
Как пояснила Microsoft, с середины ноября этого года как минимум четыре злоумышленника злоупотребили службой App Installer, в том числе Storm-0569, Storm-1113, Sangria Tempest (AKA FIN7) и Storm-1674. Первый — это брокер доступа, который обычно передает доступ к Storm-0506, который затем внедряет программу-вымогатель Black Basta. FIN7, который исследователи также заметили ранее на этой неделе под видом банковского программного обеспечения, использовал службу App Installer для отключения Gracewire, а Storm-1674 маскируется под Microsoft OneDrive и SharePoint через сообщения Teams.
Обработчик отключен в установщике приложений версии 1.21.3421.0 или более поздней.
Это не первый случай, когда файлы пакетов приложений MSIX для Windows используются не по назначению при распространении вредоносного ПО. Об этом сообщает HackerNews. В октябре 2023 года Elastic Security Labs обнаружила, что такие файлы для Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex использовались для распространения вредоносного загрузчика под названием GHOSTPULSE. Более того, Microsoft уже однажды отключила обработчик, в феврале прошлого года.
Первоисточник: : https://nybreaking.com/category/tech/
