Microsoft onemogućio protokol za instalaciju aplikacija jer ga hakeri zloupotrebljavaju za instalaciju malvera

Vesti, 29.12.2023, 12:30 PM

Microsoft je saopštio da je onemogućio funkciju koja služi pojednostavljenju instalacije aplikacija nakon što je otkrio da je hakerske grupe koriste za distribuciju malvera.

„Ms-appinstaller“ protokol u suštini omogućava korisnicima da preskoče korak ili dva kada instaliraju Windows aplikacije na uređaje. Sajber-kriminalci su shvatili da to takođe omogućava instaliranje malvera koji može učitati ransomware, kažu iz Microsofta.

Kako je objašnjeno na blogu Microsoft Threat Intelligence, hakeri su verovatno izabrali ovu funkciju jer na taj način je moguće zaobići mehanizme dizajnirane da zaštite korisnike od malvera, kao što je Microsoft Defender SmartScreen i upozorenja pretraživača o preuzimanju izvršnih fajlova.

Onemogućavanje ovog protokola znači da se Windows aplikacije neće instalirati direktno sa servera na uređaj. Umesto toga, korisnici moraju prvo da preuzmu softverski paket, a zatim da pokrenu App Installer.

Microsoft je rekao da su „ms-appinstaller“ protokol zloupotrebile hakerske grupe koje kompanija prati pod imenima Storm-0569, Storm-1113, Storm-1674 i Sangria Tempest. Ove grupe su „ms-appinstaller“ protokol iskoristile kao ulaznu tačku za instalaciju ransomwarea. Oznaka „Storm“ se odnosi na grupu čije poreklo nije poznato kompaniji. Grupa Sangria Tempest, takođe je praćena kao FIN7 od strane istraživača sajber bezbednosti, povezivana je sa ransomware grupama kao što je Clop.

U novembru i decembru grupe su „lažirale legitimne aplikacije, mamile korisnike da instaliraju zlonamerne MSIX pakete koji se predstavljaju kao legitimne aplikacije i tako izbegavale da budu otkrivene na inicijalnim instalacionim fajlovima“, rekao je Microsoft.

Žrtve preuzimaju MSIX pakete preko Microsoft Teams ili oglasa za popularni softver na pretraživačima kao što je Google.

Sajber-kriminalci su imali za cilj da instaliraju malver loader koji je omogućio dalje infekcije, uključujući uobičajene alate za eksfiltraciju podataka kao što je IcedID ili ransomware kao što je Black Basta.

Storm-0569 distribuira BATLOADER na sajtovima koji lažiraju Zoom, Tableau, TeamViewer i AnyDesk, i koristi ovaj malver za isporuku Cobalt Strikea i predaju pristupa grupi Storm-0506 za implementaciju ransomwarea Black Basta.

Storm-1113 koristi lažne MSIX instalatere, koji se maskiraju kao Zoom, za distribuciju EugenLoadera (FakeBat), koji je kanal za instalaciju raznih malvera za krađu i trojanaca za daljinski pristup.

Sangria Tempest (Carbon Spider, FIN7) koristi Storm-1113-ov EugenLoader za učitavanje malvera Carbanak koji isporučuje malver Gracewire. Grupa se takođe oslanjala i na Google oglase da bi namamila korisnike da preuzmu zlonamerne MSIX pakete aplikacija sa lažnih stranica kako bi distribuirali POWERTRASH, koji se zatim koristi za učitavanje NetSupport RAT-a i Gracewirea.

Storm-1674 šalje lažne odredišne stranice maskirane kao Microsoft OneDrive i SharePoint preko Teams poruka koristeći TeamsPhisher alat, pozivajući primaoce da otvore PDF fajlove koji ih, kada se otvore, podstiču da ažuriraju Adobe Acrobat Reader kako bi preuzeli zlonamerni MSIX instalacioni program koji sadrži SectopRAT ili DarkGate.

Ovo nije prvi put da je Microsoft onemogućio ms-appinstaller protokol u Windowsu. U februaru 2022., kompanija je preduzela isti korak kako bi sprečila infekcije malverima Emotet, TrickBot i Bazaloader.

Foto: Christian Wiediger / Unsplash