Microsoft zei donderdag dat het de protocolhandler ms-appinstaller opnieuw standaard uitschakelt na misbruik door meerdere bedreigingsactoren om malware te verspreiden.
“De waargenomen activiteiten van bedreigingsactoren maken misbruik van de huidige implementatie van de ms-appinstaller-protocolhandler als toegangsvector voor malware die kan leiden tot de verspreiding van ransomware”, aldus het Microsoft Threat Intelligence-team.
Het merkte verder op dat verschillende cybercriminelen een malwarekit te koop aanbieden als een service die gebruikmaakt van het MSIX-bestandsformaat en de ms-appinstaller-protocolhandler. De wijzigingen zijn van kracht geworden in App Installer versie 1.21.3421.0 of hoger.
De aanvallen nemen de vorm aan van ondertekende kwaadaardige MSIX-applicatiepakketten die worden verspreid via Microsoft Teams of kwaadaardige advertenties voor legitieme populaire software op zoekmachines zoals Google.
Er zijn ten minste vier verschillende financieel gemotiveerde hackgroepen waargenomen die sinds medio november 2023 misbruik maakten van de App Installer-service en deze gebruikten als toegangspunt voor daaropvolgende door mensen bediende ransomware-activiteiten:
- Storm-0569een initiële toegangsmakelaar die BATLOADER verspreidt via zoekmachineoptimalisatie (SEO)-vergiftiging met sites die Zoom, Tableau, TeamViewer en AnyDesk spoofen, en de malware gebruikt om Cobalt Strike te leveren en de toegang tot Storm-0506 over te dragen voor de implementatie van de Black Basta-ransomware.
- Storm-1113een initiële toegangsmakelaar die valse MSIX-installatieprogramma’s gebruikt, vermomd als Zoom, om EugenLoader (ook bekend als FakeBat) te distribueren, die fungeert als kanaal voor een verscheidenheid aan stealer-malware en trojans voor externe toegang.
- Sangria-storm (ook bekend als Carbon Spider en FIN7), die de EugenLoader van Storm-1113 gebruiken om Carbanak te laten vallen, die op zijn beurt een implantaat levert genaamd Gracewire. Als alternatief vertrouwt de groep op Google-advertenties om gebruikers ertoe te verleiden kwaadaardige MSIX-applicatiepakketten te downloaden van frauduleuze landingspagina’s om POWERTRASH te distribueren, dat vervolgens wordt gebruikt om NetSupport RAT en Gracewire te laden.
- Storm-1674een initiële toegangsmakelaar die valse landingspagina’s verzendt die zich voordoen als Microsoft OneDrive en SharePoint via Teams-berichten met behulp van de tool TeamsPhisher, waarbij ontvangers worden aangespoord PDF-bestanden te openen die, wanneer erop wordt geklikt, hen vragen hun Adobe Acrobat Reader bij te werken om een kwaadaardig MSIX-installatieprogramma te downloaden dat bevat SectopRAT- of DarkGate-payloads.
Microsoft beschreef Storm-1113 als een entiteit die zich ook bezighoudt met ‘as-a-service’, waarbij kwaadaardige installatieprogramma’s en landingspagina-frameworks worden aangeboden die bekende software nabootsen voor andere bedreigingsactoren zoals Sangria Tempest en Storm-1674.
In oktober 2023 heeft Elastic Security Labs een andere campagne gedetailleerd waarin valse MSIX Windows-app-pakketbestanden voor Google Chrome, Microsoft Edge, Brave, Grammarly en Cisco Webex werden gebruikt om een malware-lader genaamd GHOSTPULSE te verspreiden.
Dit is niet de eerste keer dat Microsoft de MSIX ms-appinstaller-protocolhandler in Windows heeft uitgeschakeld. In februari 2022 zette de technologiegigant dezelfde stap om te voorkomen dat bedreigingsactoren het zouden bewapenen om Emotet, TrickBot en Bazaloader te leveren.
“Bedreigingsactoren hebben waarschijnlijk gekozen voor de ms-appinstaller protocolhandlervector omdat deze mechanismen kan omzeilen die zijn ontworpen om gebruikers te beschermen tegen malware, zoals Microsoft Defender SmartScreen en ingebouwde browserwaarschuwingen voor downloads van uitvoerbare bestandsformaten”, aldus Microsoft.
