Microsoft, finansal motivasyona sahip birden fazla tehdit grubunun Windows kullanıcılarına kötü amaçlı yazılım bulaştırmak için suistimal etmesinden sonra MSIX ms-appinstaller protokol işleyicisini yeniden devre dışı bıraktı.
Saldırganlar, Defender SmartScreen kimlik avı ve kötü amaçlı yazılımdan koruma bileşeni ve kullanıcıları yürütülebilir dosyalara karşı uyaran yerleşik tarayıcı uyarıları gibi Windows kullanıcılarını kötü amaçlı yazılımlardan koruyacak güvenlik önlemlerini atlatmak için CVE-2021-43890 Windows AppX Installer kimlik sahtekarlığı güvenlik açığından yararlandı. dosya indirmeleri.
Microsoft, tehdit aktörlerinin hem popüler yazılımlara yönelik kötü amaçlı reklamları hem de imzalı kötü amaçlı MSIX uygulama paketlerini iletmek için Microsoft Teams kimlik avı mesajlarını kullandığını söylüyor.
“Microsoft Tehdit İstihbaratı, Kasım 2023’ün ortasından bu yana, Storm-0569, Storm-1113, Sangria Tempest ve Storm-1674 gibi finansal motivasyona sahip aktörler de dahil olmak üzere, kötü amaçlı yazılım dağıtmak için ms-appinstaller URI şemasını (Uygulama Yükleyici) kullanan tehdit aktörlerini gözlemledi ” dedi şirket.
“Gözlenen tehdit aktörü etkinliği, fidye yazılımı dağıtımına yol açabilecek kötü amaçlı yazılımlara erişim vektörü olarak ms-appinstaller protokol işleyicisinin mevcut uygulamasını kötüye kullanıyor. Çok sayıda siber suçlu ayrıca MSIX dosya formatını ve ms-app’i kötüye kullanan bir hizmet olarak kötü amaçlı yazılım kiti satıyor. uygulama yükleyicisi protokol işleyicisi.”
Sangria Tempest (aka FIN7) mali motivasyonlu bilgisayar korsanlığı grubu, artık kullanılmayan BlackMatter ve DarkSide fidye yazılımı operasyonlarına katıldıktan sonra daha önce REvil ve Maze fidye yazılımıyla ilişkilendirilmişti.
BleepingComputer tarafından görülen özel bir Microsoft tehdit analitiği raporunda FIN7’nin ayrıca Clop fidye yazılımıyla PaperCut yazdırma sunucularını hedef alan saldırılarla da bağlantısı olduğu görüldü.
Emotet ve BazarLoader kötü amaçlı yazılım saldırıları
BleepingComputer’ın iki yıl önce bildirdiği gibi Emotet, Windows 10 ve Windows 11 sistemlerine bulaşmak için Aralık 2021’de Adobe PDF yazılımı olarak kamufle edilen kötü amaçlı Windows AppX Installer paketlerini de kullandı.
Ek olarak, AppX Installer kimlik sahtekarlığı güvenlik açığı, BazarLoader kötü amaçlı yazılımını *.web.core.windows.net URL’lerini kullanarak Microsoft Azure’da barındırılan kötü amaçlı paketleri kullanarak dağıtmak için kullanıldı.
Microsoft, Emotet’in saldırısını engellemek için daha önce Şubat 2022’de ms-appinstaller protokol işleyicisini devre dışı bırakmıştı.
Bu saldırıların bir parçası olarak ele geçirilen cihazlar da fidye yazılımı tarafından hedef alınabileceğinden Redmond, ms-appinstaller protokol işleyicisini 28 Aralık 2023’te yeniden devre dışı bıraktı (ancak ne zaman ve neden yeniden etkinleştirildiğini açıklayamadı).
Bugün Microsoft, kötüye kullanım girişimlerini engellemek için yamalı Uygulama Yükleyicisi 1.21.3421.0 veya sonraki sürümünün yüklenmesini önerdi.
Şirket ayrıca, en son Uygulama Yükleyici sürümünü hemen dağıtamayan yöneticilere, Grup İlkesini ayarlayarak protokolü devre dışı bırakmalarını tavsiye etti. MSAppInstallerProtokolünü Etkinleştir ile Engelli.