(https://i.postimg.cc/Hj1Lh2d3/microsoft-logo-dark.png) (https://postimages.org/)
Microsoft ha vuelto a desactivar su controlador de protocolo ms-appinstaller a la luz de los actores de amenazas recientes que lo utilizan para distribuir malware.
Según un blog de Microsoft Threat Intelligence, la empresa ha estado observando a los actores de amenazas desde mediados de noviembre de 2023.
Microsoft ha sido testigo de actores motivados financieramente como Storm-0569, Storm-1113, Sangria Tempest y Storm-1674 que utilizan el esquema URI ms-appinstaller o el instalador de aplicaciones para distribuir malware.
La compañía afirma que para garantizar que "los clientes estén protegidos de la actividad observada de los atacantes, Microsoft ha investigado el uso de App Installer en estos ataques" y, en respuesta, ha desactivado App Installer de forma predeterminada.
La supuesta actividad del actor de amenazas implica abusar de la implementación actual del controlador de protocolo ms-appinstaller y usarlo como punto de acceso para malware que podría conducir a la distribución de ransomware.
Microsoft también ha observado que varios ciberdelincuentes venden kits de malware como un servicio que explota el formato de archivo MSIX y el controlador del protocolo ms-appinstaller.
Estos ataques implican la distribución de paquetes de aplicaciones MSIX maliciosas utilizando sitios web a los que se accede mediante anuncios malévolos de software legítimo en motores de búsqueda populares y Microsoft Teams.
Los actores de amenazas han optado por hacer un mal uso del vector de controlador del protocolo de aplicación ms, ya que puede "evitar los mecanismos diseñados para ayudar a mantener a los usuarios a salvo del malware".
Microsoft Threat Intelligence notó que varias bandas de ciberdelincuentes utilizaban App Installer como vía de paso para la actividad de ransomware a mediados de noviembre de este año
Según el informe, "la actividad observada incluye la suplantación de aplicaciones legítimas, atraer a los usuarios para que instalen paquetes MSIX maliciosos haciéndose pasar por aplicaciones legítimas y evadir detecciones en los archivos de instalación iniciales".
El blog describe las diversas formas en que se ha observado que Storm-0569, Storm-1113, Sangria Tempest y Storm 1674 utilizan el servicio para atraer a las víctimas a descargar aplicaciones falsas y paquetes de aplicaciones MSIX maliciosos.
Fuente:
CyberNews
https://cybernews.com/news/microsoft-disables-app-installer-after-observing-financially-motivated-threat-actor-activity/