Microsoft onemogućio protokol za instalaciju aplikacija jer ga hakeri zloupotrebljavaju za instalaciju malvera

Vesti, 29.12.2023, 12:30 PM

Microsoft onemogućio protokol za instalaciju aplikacija jer ga hakeri zloupotrebljavaju za instalaciju malvera

Microsoft je saopštio da je onemogućio funkciju koja služi pojednostavljenju instalacije aplikacija nakon što je otkrio da je hakerske grupe koriste za distribuciju malvera.

Ms-appinstaller“ protokol u suštini omogućava korisnicima da preskoče korak ili dva kada instaliraju Windows aplikacije na uređaje. Sajber-kriminalci su shvatili da to takođe omogućava instaliranje malvera koji može učitati ransomware, kažu iz Microsofta.

Kako je objašnjeno na blogu Microsoft Threat Intelligence, hakeri su verovatno izabrali ovu funkciju jer na taj način je moguće zaobići mehanizme dizajnirane da zaštite korisnike od malvera, kao što je Microsoft Defender SmartScreen i upozorenja pretraživača o preuzimanju izvršnih fajlova.

Onemogućavanje ovog protokola znači da se Windows aplikacije neće instalirati direktno sa servera na uređaj. Umesto toga, korisnici moraju prvo da preuzmu softverski paket, a zatim da pokrenu App Installer.

Microsoft je rekao da su „ms-appinstaller“ protokol zloupotrebile hakerske grupe koje kompanija prati pod imenima Storm-0569, Storm-1113, Storm-1674 i Sangria Tempest. Ove grupe su „ms-appinstaller“ protokol iskoristile kao ulaznu tačku za instalaciju ransomwarea. Oznaka „Storm“ se odnosi na grupu čije poreklo nije poznato kompaniji. Grupa Sangria Tempest, takođe je praćena kao FIN7 od strane istraživača sajber bezbednosti, povezivana je sa ransomware grupama kao što je Clop.

U novembru i decembru grupe su „lažirale legitimne aplikacije, mamile korisnike da instaliraju zlonamerne MSIX pakete koji se predstavljaju kao legitimne aplikacije i tako izbegavale da budu otkrivene na inicijalnim instalacionim fajlovima“, rekao je Microsoft.

Žrtve preuzimaju MSIX pakete preko Microsoft Teams ili oglasa za popularni softver na pretraživačima kao što je Google.

Sajber-kriminalci su imali za cilj da instaliraju malver loader koji je omogućio dalje infekcije, uključujući uobičajene alate za eksfiltraciju podataka kao što je IcedID ili ransomware kao što je Black Basta.

Storm-0569 distribuira BATLOADER na sajtovima koji lažiraju Zoom, Tableau, TeamViewer i AnyDesk, i koristi ovaj malver za isporuku Cobalt Strikea i predaju pristupa grupi Storm-0506 za implementaciju ransomwarea Black Basta.

Storm-1113 koristi lažne MSIX instalatere, koji se maskiraju kao Zoom, za distribuciju EugenLoadera (FakeBat), koji je kanal za instalaciju raznih malvera za krađu i trojanaca za daljinski pristup.

Sangria Tempest (Carbon Spider, FIN7) koristi Storm-1113-ov EugenLoader za učitavanje malvera Carbanak koji isporučuje malver Gracewire. Grupa se takođe oslanjala i na Google oglase da bi namamila korisnike da preuzmu zlonamerne MSIX pakete aplikacija sa lažnih stranica kako bi distribuirali POWERTRASH, koji se zatim koristi za učitavanje NetSupport RAT-a i Gracewirea.

Storm-1674 šalje lažne odredišne stranice maskirane kao Microsoft OneDrive i SharePoint preko Teams poruka koristeći TeamsPhisher alat, pozivajući primaoce da otvore PDF fajlove koji ih, kada se otvore, podstiču da ažuriraju Adobe Acrobat Reader kako bi preuzeli zlonamerni MSIX instalacioni program koji sadrži SectopRAT ili DarkGate.

Ovo nije prvi put da je Microsoft onemogućio ms-appinstaller protokol u Windowsu. U februaru 2022., kompanija je preduzela isti korak kako bi sprečila infekcije malverima Emotet, TrickBot i Bazaloader.

Foto: Christian Wiediger / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sud naložio NSO grupi da preda WhatsAppu kod softvera Pegaz kojim su špijunirani njegovi korisnici

Sud naložio NSO grupi da preda WhatsAppu kod softvera Pegaz kojim su špijunirani njegovi korisnici

Američki savezni sud naložio je izraelskoj kompaniji NSO da preda WhatsAppu izvorni kod za softver za špijunažu Pegaz i druge proizvode kompanije.... Dalje

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Evropski diskontni maloprodajni lanac Pepco Group koji posluje u 21 zemlji, prijavio je fišing napad u svom ogranku u Mađarskoj, koji je rezultirao ... Dalje

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Prevaranti ciljaju korisnike popularnih provajdera usluga u vezi putovanja malverom Agent Tesla, šaljući im mejlove u ime sajtova kao što je Bookin... Dalje

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Nekoliko dana nakon što je globalna policijska akcija desetkovala njihovu infrastrukturu, zloglasna ransomware grupa LockBit se ponovo se pojavila. &... Dalje

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple je objavio da uvodi u iMessage novi post-kvantni kriptografski protokol pod nazivom PQ3, dizajniran da brani šifrovanje od kvantnih napada. iMe... Dalje