Microsoft, finansal olarak motive edilen birden fazla tehdit grubunun Windows kullanıcılarını kötü amaçlı yazılımlarla enfekte etmek için kötüye kullandıktan sonra MSIX MS-AppinStaller Protokol İşleyicisini tekrar devre dışı bıraktı.
Saldırganlar, CVE-2021-43890 Windows Appx yükleyicisi, aksi takdirde Windows kullanıcılarını savunmacı akıllı ekran anti-phishishishishishing anti-phishishishing ve yerleşik tarayıcı uyarıları gibi, yürütülebilir bir şekilde uyarıcı olarak koruyacak güvenlik önlemlerini atlatmak için güvenlik açığını taklit etti. dosya indirmeleri.
Microsoft, tehdit aktörlerinin hem popüler yazılım için kötü amaçlı reklamları hem de imzalı kötü amaçlı MSIX uygulama paketlerini zorlamak için Microsoft Teams kimlik avı mesajlarını kullandığını söylüyor.
"Kasım 2023 ortasından bu yana, Microsoft Tehdit İstihbaratı, MS-Appinstaller URI Şemasını (uygulama yükleyicisi) kullanarak Fırtına-0569, Storm-1113, Sangria Tempest ve Storm-1674 gibi finansal olarak motive olmuş aktörler de dahil olmak üzere tehdit aktörlerini gözlemledi. , "dedi şirket.
"Gözlemlenen tehdit aktör etkinliği, MS-AppInstaller Protokol İşleyicisinin fidye yazılımı dağılımına yol açabilecek kötü amaçlı yazılımlar için bir erişim vektörü olarak uygulanmasını kötüye kullanıyor. Çoklu siber suçlular da MSIX dosya biçimini ve MS- bir hizmet olarak kötü amaçlı yazılım kiti satıyor. Uygulama yükleyici protokolü işleyicisi. "
Sangria Tempest (diğer adıyla Fin7) finansal olarak motive edilen hackleme grubu, daha önce yok olan Blackmatter ve Darkside fidye yazılımları operasyonlarına dahil olduktan sonra Revil ve Labirent Fidyeware ile bağlantılıdır.
BleepingComputer tarafından görülen özel bir Microsoft Tehdit Analizi raporunda FIN7, klop fidye yazılımı ile kağıt kesimi sunucularını hedefleyen saldırılara da bağlandı.
BleepingComputer'ın iki yıl önce bildirdiği gibi, Emotet ayrıca Windows 10 ve Windows 11 sistemlerini enfekte etmek için Aralık 2021'de Adobe PDF yazılımı olarak kamufle edilen kötü amaçlı Windows Appx yükleyici paketleri de kullandı.
Ayrıca, *.web.core.windows.net URL'leri kullanarak Microsoft Azure'da barındırılan kötü amaçlı paketleri kullanarak Bazarloader kötü amaçlı yazılımlarını dağıtmak için Appx yükleyici sahtekarlığı güvenlik açığı kullanıldı.
Microsoft, Emotet'in saldırısını engellemek için Şubat 2022'de MS-AppInstaller Protokol İşleyicisini devre dışı bıraktı.
Bu saldırıların bir parçası olarak tehlikeye atılan cihazlar fidye yazılımı ile hedeflenebildiğinden, Redmond bu ayın başlarında bir kez daha MS-AppinStaller Protokol İşleyicisini devre dışı bıraktı.
Microsoft, 28 Aralık 2023'te bugün varsayılan olarak devre dışı bırakıldığını söylerken, diğerleri değişikliğin bu ayın başlarında yayınlandığını bildiriyor. Ancak, Microsoft'un Şubat 2022 ile Aralık 2023 arasında Windows App yükleyicisini ne zaman ve neden etkinleştirdiği belirsizdir.
Bugün, Microsoft, sömürü denemelerini engellemek için Yamalı Uygulama Yükleyici Sürüm 1.21.3421.0 veya daha sonraki sürümünün yüklenmesini önerdi.
Şirket ayrıca, grup politikasını en etkinlik olarak devre dışı bırakarak protokolü devre dışı bırakmak için en son uygulama yükleyici sürümünü hemen dağıtamayan yöneticilere tavsiyelerde bulundu.
Kötü amaçlı yazılım, Google OAuth son noktasını 'canlandırmaya', kurabiyeleri 'canlandırmak için kötüye kullanır
Steam Game Modu, şifre çalan kötü amaçlı yazılımları itmek için ihlal edildi
Google Play'e 330K kez yüklü yeni Xamalicious Android kötü amaçlı yazılım
Microsoft Office 2019'da 200 $ ile tatillerde üretken olun
Sahte VPN Chrome Uzantıları Korumla Düzenlenen 1,5 Milyon Kez
Kaynak: Bleeping Computer