Microsoft ha annunciato giovedì di disabilitare nuovamente, per impostazione predefinita, il gestore del protocollo ms-appinstaller (MSIX) a seguito del suo abuso da parte di vari criminali informatici per la distribuzione di malware.
Perché Microsoft disattiva il protocollo di installazione MSIX
“Il comportamento osservato dei criminali informatici abusa dell’implementazione attuale del gestore del protocollo ms-appinstaller come vettore di accesso per malware che potrebbe portare alla distribuzione di ransomware,” ha dichiarato il team di Threat Intelligence di Microsoft.
Ha inoltre notato che diversi criminali informatici stanno offrendo un kit di malware in vendita come servizio che sfrutta il formato di file MSIX e il gestore del protocollo ms-appinstaller, pertanto le modifiche sono entrate in vigore nella versione di App Installer 1.21.3421.0 o superiore.
Gli attacchi assumono la forma di pacchetti applicativi MSIX dannosi firmati che vengono distribuiti tramite Microsoft Teams o annunci pubblicitari dannosi per software legittimo popolare su motori di ricerca come Google.
Almeno quattro gruppi di hacker motivati finanziariamente sono stati osservati sfruttare il servizio App Installer dal novembre 2023, utilizzandolo come punto di ingresso per attività di ransomware umane successive:
- Storm-0569, un intermediario di accesso iniziale che propaga BATLOADER attraverso l’avvelenamento dell’ottimizzazione dei motori di ricerca (SEO) con siti che falsificano Zoom, Tableau, TeamViewer e AnyDesk, e utilizza il malware per distribuire Cobalt Strike e cedere l’accesso a Storm-0506 per la distribuzione di ransomware Black Basta.
- Storm-1113, un intermediario di accesso iniziale che utilizza falsi installatori MSIX mascherati da Zoom per distribuire EugenLoader (aka FakeBat), che funge da condotto per una varietà di malware furto e trojan di accesso remoto.
- Sangria Tempest (aka Carbon Spider e FIN7), che utilizza EugenLoader di Storm-1113 per rilasciare Carbanak che, a sua volta, distribuisce un impianto chiamato Gracewire. In alternativa, il gruppo si è affidato agli annunci di Google per attirare gli utenti a scaricare pacchetti applicativi MSIX dannosi da pagine di destinazione fraudolente per distribuire POWERTRASH, che viene quindi utilizzato per caricare NetSupport RAT e Gracewire.
- Storm-1674, un intermediario di accesso iniziale che invia pagine di destinazione false mascherate da Microsoft OneDrive e SharePoint attraverso messaggi Teams utilizzando lo strumento TeamsPhisher, sollecitando i destinatari ad aprire file PDF che, se cliccati, li invitano ad aggiornare Adobe Acrobat Reader per scaricare un installatore MSIX dannoso che contiene payload SectopRAT o DarkGate.
Microsoft ha descritto Storm-1113 come un’entità che si occupa anche di “as-a-service”, fornendo installatori dannosi e strutture di pagine di destinazione che imitano software noti ad criminali informaticicome Sangria Tempest e Storm-1674.
Nel ottobre 2023, Elastic Security Labs ha rilasciato un rapporto dettagliato riguard ad un’altra campagna in cui sono stati utilizzati file di pacchetti applicativi Windows MSIX per Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex per distribuire un caricatore di malware chiamato GHOSTPULSE.
Non è la prima volta che Microsoft disabilita il gestore del protocollo ms-appinstaller MSIX in Windows; oltretutto nel febbraio 2022, il gigante tecnologico ha preso la stessa misura per impedire ai criminali informatici di utilizzarlo per consegnare Emotet, TrickBot e Bazaloader.
“I criminali informatici hanno probabilmente scelto il vettore del gestore del protocollo ms-appinstaller perché può eludere meccanismi progettati per mantenere gli utenti al sicuro da malware, come Microsoft Defender SmartScreen e avvisi del browser integrato per il download di formati di file eseguibili“, ha dichiarato Microsoft.
