Sommario
Microsoft ha annunciato di aver nuovamente disabilitato il gestore del protocollo ms-appinstaller in seguito al suo abuso da parte di vari attori di minacce per distribuire malware.
Abuso del Protocollo ms-appinstaller
Il team di Microsoft Threat Intelligence ha rilevato che l’attuale implementazione del gestore del protocollo ms-appinstaller è stata sfruttata come vettore di accesso per malware che potrebbe portare alla distribuzione di ransomware. Inoltre, è stato notato che diversi criminali informatici stanno offrendo un kit di malware in vendita come servizio che sfrutta il formato di file MSIX e il gestore del protocollo ms-appinstaller. Le modifiche sono entrate in vigore nella versione 1.21.3421.0 o superiore di App Installer.
Modalità degli Attacchi
Gli attacchi si presentano sotto forma di pacchetti di applicazioni MSIX firmati e maligni, distribuiti tramite Microsoft Teams o annunci pubblicitari ingannevoli per software legittimi su motori di ricerca come Google.
Gruppi di Hacker Coinvolti
Almeno quattro diversi gruppi di hacking finanziariamente motivati sono stati osservati mentre sfruttavano il servizio App Installer da metà novembre 2023, utilizzandolo come punto di ingresso per attività di ransomware operate da umani:
- Storm-0569, un broker di accesso iniziale che propaga BATLOADER attraverso il SEO poisoning, con siti che imitano Zoom, Tableau, TeamViewer e AnyDesk, e utilizza il malware per consegnare Cobalt Strike e Black Basta ransomware.
- Storm-1113, che usa falsi installatori MSIX mascherati da Zoom per distribuire EugenLoader (aka FakeBat), che funge da condotto per vari malware e trojan di accesso remoto.
- Sangria Tempest (aka Carbon Spider e FIN7), che utilizza EugenLoader di Storm-1113 per rilasciare Carbanak e Gracewire, o si affida a annunci Google per attirare gli utenti a scaricare pacchetti di applicazioni MSIX maligni.
- Storm-1674, che invia false pagine di destinazione mascherate da Microsoft OneDrive e SharePoint tramite messaggi di Teams, inducendo i destinatari a scaricare un installatore MSIX maligno contenente payload SectopRAT o DarkGate.
Precedenti azioni di Microsoft
Questa non è la prima volta che Microsoft disabilita il gestore del protocollo ms-appinstaller in Windows. Nel febbraio 2022, la società ha preso lo stesso provvedimento per prevenire che gli attori delle minacce lo sfruttassero per distribuire Emotet, TrickBot e Bazaloader.