La compañía Microsoft anunció que volverá a desactivar el protocolo ms-appinstaller por defecto, debido a su abuso por parte de múltiples actores de amenazas para distribuir malware.
El equipo de inteligencia de amenazas de Microsoft declaró que el actual uso del protocolo ms-appinstaller se ha convertido en una herramienta de malware que puede generar distribución de ransomware.
En adición, varios ciberdelincuentes han estado ofreciendo un kit de malware que aprovecha el formato de archivo MSIX y el protocolo ms-appinstaller como un servicio para las personas que quieran comprarlo. Las medidas preventivas han sido efectivas en la versión 1.21.3421.0 o las versiones posteriores de la aplicación App Installer.
Los ataques se presentan en forma de paquetes de aplicaciones maliciosas firmadas MSIX que se distribuyen a través de Microsoft Teams o anuncios maliciosos de software popular y legítimo en motores de búsqueda como Google.
Desde mediados de noviembre del 2023, al menos cuatro grupos de hackers que buscan beneficios económicos han estado aprovechando el servicio de App Installer, usándolo como punto de entrada para actividades de ransomware.
Storm-0569, un proveedor de acceso inicial, que utiliza BATLOADER a través de envenenamiento de motores de búsqueda con sitios que hacen creer que representan a Zoom, Tableau, TeamViewer y AnyDesk, y usa el malware para dar cobertura a Cobalt Strike y transferir el acceso a Storm-0506 para la implementación del ransomware Black Basta.
Storm-1113, un proveedor de acceso inicial que utiliza instaladores falsos MSIX disfrazados de Zoom para distribuir EugenLoader, que actúa como conducto para una variedad de programas de malware y troyanos de acceso remoto.
Sangria Tempest (también conocido como Carbon Spider y FIN7), que utiliza el EugenLoader de Storm-1113 para descargar Carbanak y, a su vez, proporciona el software malicioso llamado Gracewire. Alternativamente, el grupo ha dependido de anuncios de Google para atraer a los usuarios a descargar paquetes de aplicaciones MSIX maliciosas desde páginas de aterrizaje para distribuir POWERTRASH, que luego se utiliza para cargar NetSupport y Gracewire RAT.
Storm-1674, un proveedor de acceso inicial, envía páginas de aterrizaje falsas disfrazadas de Microsoft OneDrive y SharePoint a través de mensajes de Teams utilizando la herramienta TeamsPhisher, instando a los destinatarios a abrir archivos PDF que, cuando se hace clic, les pide que actualicen su Adobe Acrobat Reader para descargar un instalador MSIX malicioso que contiene cargas útiles SectopRAT o DarkGate.
Microsoft describió a Storm-1113 como una entidad que también se dedica a «como un servicio», proporcionando instaladores maliciosos y marcos de páginas de aterrizaje que imitan a software conocido a otros actores de amenazas como Sangria Tempest y Storm-1674.
En octubre de 2023, Elastic Security Labs detalló otra campaña en la que se utilizaron archivos falsos de aplicación MSIX de Windows de Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex para distribuir un programa malicioso llamado GHOSTPULSE.
Cabe destacar que esta no es la primera vez que Microsoft desactiva el protocolo ms-appinstaller en Windows. El gigante tecnológico tomó la misma medida en febrero de 2022 para evitar que actores de amenazas lo utilizaran para entregar Emotet, TrickBot y Bazaloader.
Microsoft declaró que es probable que los actores de amenaza hayan elegido el vector del protocolo ms-appinstaller porque puede saltarse los mecanismos diseñados para mantener a los usuarios seguros del malware, como Microsoft Defender SmartScreen y las advertencias integradas del navegador para descargas de formatos de archivo ejecutables.