Η Microsoft προχώρησε στην απενεργοποίηση του εργαλείου της «ms-appinstaller», καθώς εντοπίστηκαν νέα στοιχεία που έδειξαν ότι χάκερ το χρησιμοποιούν για την ανάπτυξη κακόβουλου λογισμικού.
«Οι κακόβουλοι παράγοντες έκαναν κατάχρηση της τρέχουσας υλοποίησης του χειριστή πρωτοκόλλου ms-appinstaller ως φορέα πρόσβασης για κακόβουλο λογισμικό που μπορεί να οδηγήσει σε διανομή ransomware» ανέφερε η Microsoft.
Επιπλέον, ο τεχνολογικός κολοσσός παρατήρησε ότι υπήρχαν χάκερ που πουλούσαν στο dark web «κιτ κακόβουλου λογισμικού», τα οποία χρησιμοποιούν τη μορφή αρχείου MSIX και τον χειριστή πρωτοκόλλου ms-appinstaller.
Οι 4 κακόβουλοι παράγοντες
Όπως φαίνεται, οι κακόβουλοι παράγοντες δημιουργούν ψεύτικες μολυσμένες διαφημίσεις για το νόμιμο και δημοφιλές λογισμικό, οι οποίες ανακατευθύνουν τα θύματα σε ιστότοπους υπό τον έλεγχό τους. Εκεί, τα εξαπατούν ώστε να κατεβάσουν κακόβουλο λογισμικό. Ένας δεύτερος φορέας διανομής είναι το phishing μέσω του Microsoft Teams, ανέφερε η εταιρεία.
«Οι κακόβουλοι παράγοντες έχουν πιθανότατα επιλέξει το “ms-appinstaller” επειδή μπορεί να παρακάμψει μηχανισμούς που έχουν σχεδιαστεί για να βοηθήσουν στην ασφάλεια των χρηστών από κακόβουλο λογισμικό, όπως το Microsoft Defender SmartScreen και οι ενσωματωμένες προειδοποιήσεις του προγράμματος περιήγησης για λήψεις εκτελέσιμων μορφών αρχείων», εξήγησε η Microsoft.
Από τα μέσα Νοεμβρίου του 2023, τουλάχιστον 4 κακόβουλοι παράγοντες έκαναν κατάχρηση της υπηρεσίας App Installer, αποκάλυψε η Microsoft:
- Storm-0569
- Storm-1113
- Sangria Tempest (FIN7)
- Storm-1674.
Το Storm-0569 είναι ένας διαμεσολαβητής που συνήθως παραδίδει την πρόσβαση στο Storm-0506, το οποίο στη συνέχεια αναπτύσσει το ransomware Black Basta. Το FIN7 χρησιμοποίησε την υπηρεσία App Installer για να ρίξει το Gracewire, ενώ το Storm-1674 μεταμφιέζεται ως Microsoft OneDrive και SharePoint μέσω μηνυμάτων Teams.
Αυτή δεν είναι η πρώτη φορά που τα αρχεία πακέτων εφαρμογών MSIX για Windows χρησιμοποιούνται για τη διανομή κακόβουλου λογισμικού, σύμφωνα με το TheHackerNews. Τον Οκτώβριο του 2023, η Elastic Security Labs βρήκε τέτοια αρχεία για το Google Chrome, το Microsoft Edge, το Brave, το Grammarly και το Cisco Webex να χρησιμοποιούνται για τη διανομή ενός κακόβουλου λογισμικού με την ονομασία GHOSTPULSE.
