Microsoft, Kötü Amaçlı Yazılım Saldırılarında Yaygın Olarak Kullanılan MSIX Uygulama Yükleyici Protokolünü Devre Dışı Bırakıyor


29 Aralık 2023Haber odasıKötü Amaçlı Yazılım / Uç Nokta Güvenliği

MSIX Uygulama Yükleyici Protokolü

Microsoft Perşembe günü, ms-appinstaller protokol işleyicisinin birden fazla tehdit aktörü tarafından kötü amaçlı yazılım dağıtmak amacıyla kötüye kullanılmasının ardından varsayılan olarak bir kez daha devre dışı bırakıldığını söyledi.

Microsoft Tehdit İstihbaratı ekibi, “Gözlenen tehdit aktörü etkinliği, fidye yazılımı dağıtımına yol açabilecek kötü amaçlı yazılımlara yönelik bir erişim vektörü olarak ms-appinstaller protokol işleyicisinin mevcut uygulamasını kötüye kullanıyor” dedi.

Ayrıca birçok siber suçlunun, MSIX dosya formatını ve ms-appinstaller protokol işleyicisini kullanan bir hizmet olarak bir kötü amaçlı yazılım kitini satışa sunduğunu da belirtti. Değişiklikler Uygulama Yükleyici 1.21.3421.0 veya üzeri sürümlerde yürürlüğe girmiştir.

Saldırılar, Microsoft Teams aracılığıyla dağıtılan imzalı kötü amaçlı MSIX uygulama paketleri veya Google gibi arama motorlarındaki meşru popüler yazılımlara yönelik kötü amaçlı reklamlar biçiminde gerçekleşiyor.

YAKLAŞAN WEBİNAR

KULLANICIDAN YÖNETİCİYE: Bilgisayar Korsanlarının Tam Kontrolü Nasıl Kazandığını Öğrenin

Bilgisayar korsanlarının yönetici olmak için kullandıkları gizli taktikleri, çok geç olmadan bunu nasıl tespit edip engelleyeceğinizi keşfedin. Bugün web seminerimize kaydolun.

Şimdi Katıl

Mali motivasyona sahip en az dört farklı bilgisayar korsanlığı grubunun, 2023 yılının Kasım ayı ortasından bu yana Uygulama Yükleyici hizmetinden yararlandığı ve bunu insanlar tarafından gerçekleştirilen fidye yazılımı faaliyetleri için bir giriş noktası olarak kullandığı gözlemlendi.

  • Fırtına-0569Zoom, Tableau, TeamViewer ve AnyDesk’i taklit eden sitelerle BATLOADER’ı arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla yayan ve Cobalt Strike’ı sunmak ve Black Basta fidye yazılımı dağıtımı için Storm-0506’ya erişimi devretmek için kötü amaçlı yazılımı kullanan bir ilk erişim aracısı.
  • Fırtına-1113çeşitli hırsız kötü amaçlı yazılımlar ve uzaktan erişim truva atları için bir kanal görevi gören EugenLoader’ı (diğer adıyla FakeBat) dağıtmak için Zoom kılığına giren sahte MSIX yükleyicilerini kullanan bir ilk erişim aracısı.
  • Sangria Fırtınası (diğer adıyla Carbon Spider ve FIN7), Carbanak’ı düşürmek için Storm-1113’ün EugenLoader’ını kullanıyor ve bu da Gracewire adlı bir implant sağlıyor. Alternatif olarak grup, daha sonra NetSupport RAT ve Gracewire’ı yüklemek için kullanılan POWERTRASH’ı dağıtmak amacıyla kullanıcıları sahte açılış sayfalarından kötü amaçlı MSIX uygulama paketleri indirmeye ikna etmek için Google reklamlarına güvendi.
  • Fırtına-1674TeamsPhisher aracını kullanarak Teams mesajları aracılığıyla Microsoft OneDrive ve SharePoint kılığına girerek sahte giriş sayfaları gönderen ve alıcıları tıklandığında Adobe Acrobat Reader’larını kötü amaçlı bir MSIX yükleyicisini indirmeleri için güncellemelerini isteyen PDF dosyalarını açmaya teşvik eden bir ilk erişim komisyoncusu. SectopRAT veya DarkGate yüklerini içerir.

Microsoft, Storm-1113’ü aynı zamanda “hizmet olarak” da çalışan, Sangria Tempest ve Storm-1674 gibi diğer tehdit aktörlerine iyi bilinen yazılımları taklit eden kötü amaçlı yükleyiciler ve açılış sayfası çerçeveleri sağlayan bir varlık olarak tanımladı.

Siber güvenlik

Ekim 2023’te Elastic Security Labs, Google Chrome, Microsoft Edge, Brave, Grammarly ve Cisco Webex için sahte MSIX Windows uygulama paketi dosyalarının GHOSTPULSE adlı bir kötü amaçlı yazılım yükleyicisini dağıtmak için kullanıldığı başka bir kampanyanın ayrıntılarını verdi.

Bu, Microsoft’un Windows’ta MSIX ms-appinstaller protokol işleyicisini ilk kez devre dışı bırakması değil. Şubat 2022’de teknoloji devi, tehdit aktörlerinin Emotet, TrickBot ve Bazaloader’ı sunmak için kendisini silah haline getirmesini önlemek için aynı adımı attı.

Microsoft, “Tehdit aktörleri muhtemelen ms-appinstaller protokol işleyici vektörünü seçmiştir çünkü bu vektör, Microsoft Defender SmartScreen ve yürütülebilir dosya formatlarının indirilmesi için yerleşik tarayıcı uyarıları gibi kullanıcıları kötü amaçlı yazılımlardan korumaya yardımcı olmak için tasarlanmış mekanizmaları atlayabilir” dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link