Microsoft disabilita Protocollo ms-appinstaller

da Redazione
0 commenti 2 minuti leggi
Ms Appinstaller Protocol

Microsoft ha annunciato di aver nuovamente disabilitato il gestore del protocollo ms-appinstaller in seguito al suo abuso da parte di vari attori di minacce per distribuire malware.

Abuso del Protocollo ms-appinstaller

Il team di Microsoft Threat Intelligence ha rilevato che l’attuale implementazione del gestore del protocollo ms-appinstaller è stata sfruttata come vettore di accesso per malware che potrebbe portare alla distribuzione di ransomware. Inoltre, è stato notato che diversi criminali informatici stanno offrendo un kit di malware in vendita come servizio che sfrutta il formato di file MSIX e il gestore del protocollo ms-appinstaller. Le modifiche sono entrate in vigore nella versione 1.21.3421.0 o superiore di App Installer.

Annunci

Modalità degli Attacchi

Gli attacchi si presentano sotto forma di pacchetti di applicazioni MSIX firmati e maligni, distribuiti tramite Microsoft Teams o annunci pubblicitari ingannevoli per software legittimi su motori di ricerca come Google.

Gruppi di Hacker Coinvolti

Almeno quattro diversi gruppi di hacking finanziariamente motivati sono stati osservati mentre sfruttavano il servizio App Installer da metà novembre 2023, utilizzandolo come punto di ingresso per attività di ransomware operate da umani:

  • Storm-0569, un broker di accesso iniziale che propaga BATLOADER attraverso il SEO poisoning, con siti che imitano Zoom, Tableau, TeamViewer e AnyDesk, e utilizza il malware per consegnare Cobalt Strike e Black Basta ransomware.
  • Storm-1113, che usa falsi installatori MSIX mascherati da Zoom per distribuire EugenLoader (aka FakeBat), che funge da condotto per vari malware e trojan di accesso remoto.
  • Sangria Tempest (aka Carbon Spider e FIN7), che utilizza EugenLoader di Storm-1113 per rilasciare Carbanak e Gracewire, o si affida a annunci Google per attirare gli utenti a scaricare pacchetti di applicazioni MSIX maligni.
  • Storm-1674, che invia false pagine di destinazione mascherate da Microsoft OneDrive e SharePoint tramite messaggi di Teams, inducendo i destinatari a scaricare un installatore MSIX maligno contenente payload SectopRAT o DarkGate.

Precedenti azioni di Microsoft

Questa non è la prima volta che Microsoft disabilita il gestore del protocollo ms-appinstaller in Windows. Nel febbraio 2022, la società ha preso lo stesso provvedimento per prevenire che gli attori delle minacce lo sfruttassero per distribuire Emotet, TrickBot e Bazaloader.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara