Microsoft desactiva el MSIX App Installer Protocol

Iniciado por AXCESS, Diciembre 29, 2023, 07:30:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 29, 2023, 07:30:27 PM Ultima modificación: Diciembre 29, 2023, 08:44:53 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha vuelto a desactivar su controlador de protocolo ms-appinstaller a la luz de los actores de amenazas recientes que lo utilizan para distribuir malware.

Según un blog de Microsoft Threat Intelligence, la empresa ha estado observando a los actores de amenazas desde mediados de noviembre de 2023.

Microsoft ha sido testigo de actores motivados financieramente como Storm-0569, Storm-1113, Sangria Tempest y Storm-1674 que utilizan el esquema URI ms-appinstaller o el instalador de aplicaciones para distribuir malware.

La compañía afirma que para garantizar que "los clientes estén protegidos de la actividad observada de los atacantes, Microsoft ha investigado el uso de App Installer en estos ataques" y, en respuesta, ha desactivado App Installer de forma predeterminada.

La supuesta actividad del actor de amenazas implica abusar de la implementación actual del controlador de protocolo ms-appinstaller y usarlo como punto de acceso para malware que podría conducir a la distribución de ransomware.

Microsoft también ha observado que varios ciberdelincuentes venden kits de malware como un servicio que explota el formato de archivo MSIX y el controlador del protocolo ms-appinstaller.

Estos ataques implican la distribución de paquetes de aplicaciones MSIX maliciosas utilizando sitios web a los que se accede mediante anuncios malévolos de software legítimo en motores de búsqueda populares y Microsoft Teams.

Los actores de amenazas han optado por hacer un mal uso del vector de controlador del protocolo de aplicación ms, ya que puede "evitar los mecanismos diseñados para ayudar a mantener a los usuarios a salvo del malware".

Microsoft Threat Intelligence notó que varias bandas de ciberdelincuentes utilizaban App Installer como vía de paso para la actividad de ransomware a mediados de noviembre de este año

Según el informe, "la actividad observada incluye la suplantación de aplicaciones legítimas, atraer a los usuarios para que instalen paquetes MSIX maliciosos haciéndose pasar por aplicaciones legítimas y evadir detecciones en los archivos de instalación iniciales".

El blog describe las diversas formas en que se ha observado que Storm-0569, Storm-1113, Sangria Tempest y Storm 1674 utilizan el servicio para atraer a las víctimas a descargar aplicaciones falsas y paquetes de aplicaciones MSIX maliciosos.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario