Microsoft, MSIX MS-app yükleyicisini bir kez daha kapattı. Microsoft’un bu kararı, son zamanlarda birden fazla tehdit kuruluşunun bunu kullanmaya başlamasıyla geldi. Tehdit aktörleri, Windows sistemlerine kötü amaçlı yazılım bulaştırmak için MS-app yükleyici protokolünü kullanıyordu.
Saldırganlar, normalde Windows kullanıcılarını kötü amaçlı yazılımlardan koruyan güvenlik önlemlerini atlamak için Windows AppX Installer kimlik sahtekarlığı güvenlik açığından (CVE-2021-43890) yararlandı. Defender SmartScreen kimlik avı ve kötü amaçlı yazılımdan koruma bileşeni ve yerleşik tarayıcı uyarıları gibi bileşenler, kullanıcıları bu .exe dosyalarını indirmeye karşı uyarır.
MS-app Yükleyici Protokolü Hakkında Ayrıntılı Bilgi
Microsoft, Uygulama Yükleyicinin tehdit aktörleri tarafından kötüye kullanımını araştırdı. Bu saldırılara yanıt olarak teknoloji devi, artık kullanıcıları için MS-app yükleyici protokol işleyicisini varsayılan olarak kapattı.
App Installer’ın istismarını açıklayan Microsoft şunları söyledi: “Microsoft Tehdit İstihbaratı, Kasım 2023’ün ortasından bu yana, aralarında Storm-0569, Storm-1113, Sangria Tempest ve Storm-1674 gibi finansal motivasyona sahip aktörlerin de bulunduğu tehdit aktörlerini ms- kötü amaçlı yazılım dağıtmak için uygulama yükleyici URI (Tekdüzen Kaynak Tanımlayıcı) şeması (protokol)”.
Finansal motivasyona sahip bilgisayar korsanlığı grubu Sangria Tempest (FIN7 olarak da bilinir) daha önce REvil ve Maze fidye yazılımıyla ilişkilendirilmişti. Bu grupların artık geçerliliğini yitirmiş olan BlackMatter ve DarkSide fidye yazılımı operasyonlarına katılımlarıyla tanınıyor.
MS-app yükleyici protokol işleyicisi, onu bir erişim vektörü aracılığıyla fidye yazılımı dağıtma aracı olarak kullanan tehdit aktörleri tarafından kötüye kullanılıyordu. Ayrıca birçok dolandırıcı, MSIX dosya biçimini ve MS-app yükleyici protokol işleyicisini kullanan bir kötü amaçlı yazılım kitini satışa sunuyor.
Kötü Amaçlı Dosyaların Yayılması
MSIX uygulama paketleri, kötü amaçlı dosyalar için kılık değiştirme görevi görür. Bu paketler, Microsoft Teams aracılığıyla veya Google ve diğer büyük arama motorlarında kötü amaçlı arama motoru reklamları olarak imzalanır ve dağıtılır.
Aralık 2021’deki benzer örneklerde Emotet hacker grubu, kötü amaçlı Windows AppX Installer paketlerini dağıttı. Bu paketler, Windows 10 ve Windows 11 sistemlerine gizlice sızmak için Adobe PDF uygulamaları olarak ortaya çıktı.
Ayrıca, *.web.core.windows.net URL’lerini kullanan Microsoft Azure’da depolanan kötü amaçlı paketler, BazarLoader kötü amaçlı yazılımını yaymak için kullanıldı. Bu özel işlem, AppX Installer’ın kimlik sahtekarlığı güvenlik açığından yararlandı.
Microsoft, Emotet’in saldırısını durdurmak amacıyla daha önce Şubat 2022’de MS-app yükleyici protokol işleyicisini devre dışı bırakmıştı. Redmond’daki Microsoft merkezi de MS-app yükleyici protokol işleyicisini bu ayın başlarında devre dışı bıraktı çünkü bu saldırıların kurbanları da saldırılara maruz kalabilir fidye yazılımı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.