A Microsoft novamente desativou o manipulador de protocolo MSIX ms-appinstaller depois que vários grupos de ameaças financeiramente motivados abusaram dele para infectar usuários do Windows com malware.
Os invasores exploraram a vulnerabilidade de falsificação do Instalador do AppX do Windows
CVE-2021-43890
para contornar medidas de segurança que de outra forma protegeriam os usuários do Windows contra malwares, como o componente anti-phishing e anti-malware Defender SmartScreen e alertas de navegador integrados alertando os usuários contra downloads de arquivos executáveis.
A Microsoft diz que os atores de ameaça usam tanto anúncios maliciosos para softwares populares quanto mensagens de phishing do Microsoft Teams para impulsionar pacotes maliciosos de aplicativos MSIX assinados.
"Desde meados de novembro de 2023, a equipe de inteligência de ameaças da Microsoft observou atores de ameaças, incluindo atores financeiramente motivados como Storm-0569, Storm-1113, Sangria Tempest e Storm-1674, utilizando o esquema de URI do ms-appinstaller (App Installer) para distribuir malware", disse a empresa.
"A atividade do ator de ameaça observada abusa da implementação atual do manipulador de protocolo ms-appinstaller como um vetor de acesso para malware que pode levar à distribuição de ransomware.
Vários criminosos cibernéticos também estão vendendo um kit de malware como serviço que abusa do formato de arquivo MSIX e do manipulador de protocolo ms-app installer."
O grupo de hackers financeiramente motivados Sangria Tempest (também conhecido como FIN7) já foi ligado ao ransomware REvil e Maze após seu envolvimento nas operações de ransomware agora extintas BlackMatter e DarkSide.
Em um relatório privado de análise de ameaças da Microsoft visto pelo BleepingComputer, a FIN7 também foi conectada a ataques direcionados aos servidores de impressão PaperCut com o ransomware Clop.
Como o BleepingComputer relatou há mais de dois anos, o Emotet também usou pacotes maliciosos do Instalador do AppX do Windows camuflados como software Adobe PDF em dezembro de 2021 para infectar sistemas Windows 10 e Windows 11.
Além disso, a vulnerabilidade de falsificação do Instalador AppX foi explorada para distribuir o malware BazarLoader usando pacotes maliciosos hospedados na Microsoft Azure, usando URLs *.web.core.windows.net.
A Microsoft anteriormente desativou o manipulador de protocolo ms-appinstaller em fevereiro de 2022 para barrar o ataque do Emotet.
Como dispositivos comprometidos como parte desses ataques também podem ser alvo de ransomware, a Microsoft desativou o manipulador de protocolo ms-appinstaller novamente este mês.
Enquanto a Microsoft afirma que foi desativado por padrão hoje, 28 de dezembro de 2023, outros relatam que a mudança foi implementada no início deste mês.
No entanto, não está claro quando e por que a Microsoft reativou o Windows App Installer entre fevereiro de 2022 e dezembro de 2023.
Hoje, a Microsoft recomendou a instalação da versão corrigida do App Installer 1.21.3421.0 ou posterior para bloquear tentativas de exploração.
A empresa também aconselhou os administradores que não podem instalar imediatamente a versão mais recente do App Installer a desativar o protocolo, configurando a política de grupo EnableMSAppInstallerProtocol para Desativado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...