Microsoft, çok sayıda kötü amaçlı yazılım saldırısının ardından kendi yazılım araçlarından birini devre dışı bıraktı

Microsoft, bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak için kullandığına dair yeni kanıtlar bulmasının ardından ms-appinstaller protokol işleyicisini varsayılan olarak devre dışı bıraktı.

Microsoft yeni bir güvenlik danışmanlığında “Gözlemlenen tehdit aktörü etkinliği, ms-appinstaller protokol işleyicisinin mevcut uygulamasını, fidye yazılımı dağıtımına yol açabilecek kötü amaçlı yazılımlar için bir erişim vektörü olarak kötüye kullanıyor” dedi.

Ayrıca Redmond devi, bilgisayar korsanlarının karanlık ağda MSIX dosya formatını ve ms-appinstaller protokol işleyicisini kullanan kötü amaçlı yazılım kitleri sattığını gördü.

Dört tehdit aktörü

Görünüşe göre, tehdit aktörleri, kurbanları kendi kontrolleri altındaki web sitelerine yönlendirmek için yasal ve popüler yazılımlar için kötü amaçlı sahte reklamlar oluşturuyor. Orada, kötü amaçlı yazılım indirmeleri için onları kandırıyorlar. Şirket, ikinci bir dağıtım vektörünün Microsoft Teams aracılığıyla kimlik avı olduğunu söyledi.

“Tehdit aktörleri muhtemelen ms-appinstaller protokol işleyici vektörünü seçmişlerdir çünkü Microsoft Defender SmartScreen ve yürütülebilir dosya biçimlerinin indirilmesine yönelik yerleşik tarayıcı uyarıları gibi kullanıcıları kötü amaçlı yazılımlardan korumaya yardımcı olmak için tasarlanmış mekanizmaları atlayabilir.”

Microsoft ayrıca, bu yılın Kasım ayının ortasından bu yana en az dört tehdit aktörünün Uygulama Yükleyici hizmetini kötüye kullandığını ve bunların Storm-0569, Storm-1113, Sangria Tempest (AKA FIN7) ve Storm-1674 olduğunu açıkladı. Bunlardan ilki, genellikle erişimi Storm-0506’ya devreden ve daha sonra Black Basta fidye yazılımını dağıtan bir erişim aracısıdır. Araştırmacıların bu hafta başında bankacılık yazılımlarını taklit ettiğini gözlemlediği FIN7, Gracewire’ı bırakmak için App Installer hizmetini kullanırken, Storm-1674 Teams mesajları aracılığıyla Microsoft OneDrive ve SharePoint gibi davranıyor.

İşleyici, App Installer’ın 1.21.3421.0 veya üzeri sürümlerinde devre dışı bırakılmıştır.

TheHackerNews, MSIX Windows uygulama paketi dosyalarının kötü amaçlı yazılım dağıtımında ilk kez kötüye kullanılmadığını söylüyor. Ekim 2023’te Elastic Security Labs, Google Chrome, Microsoft Edge, Brave, Grammarly ve Cisco Webex için bu tür dosyaların GHOSTPULSE adlı bir kötü amaçlı yazılım yükleyicisini dağıtmak için kullanıldığını tespit etti. Dahası, Microsoft bu işleyiciyi geçen yıl Şubat ayında bir kez daha devre dışı bırakmıştı.