Cuando se implementa directamente desde un sitio web, la página contendrá un vínculo con el formato ms-appinstaller:?source=http://link-to.domain/app-name.msix. Al hacer clic, el navegador pasará la solicitud al controlador de protocolo ms-appinstaller en Windows, que invocará App Installer. Este es el mismo tipo de funcionalidad que se ve con otras aplicaciones que registran controladores de protocolos personalizados en Windows, como cuando se hace clic en un botón en una página web para unirse a una conferencia telefónica y el navegador abre automáticamente las aplicaciones de escritorio Zoom o Microsoft Teams.
Abuso generalizado del instalador de aplicaciones de Microsoft
Los atacantes comenzaron a abusar del esquema URI ms-appinstaller hace un tiempo al llevar a los usuarios a páginas web falsificadas para software popular y, en su lugar, entregar malware empaquetado como MSIX. Según Microsoft, la técnica fue adoptada por múltiples grupos, lo que culminó con un aumento de ataques durante noviembre y diciembre de 2023.
A principios de diciembre, un grupo de agentes de acceso al que Microsoft identifica como Storm-0569 lanzó una campaña de optimización de motores de búsqueda que distribuyó BATLOADER utilizando esta técnica. El grupo envenenó los resultados de búsqueda con enlaces a páginas web que se hacían pasar por sitios web oficiales de aplicaciones de software legítimas como Zoom, Tableau, TeamViewer y AnyDesk.
«A los usuarios que buscan una aplicación de software legítima en Bing o Google se les puede presentar una página de inicio que falsifica las páginas de inicio del proveedor de software original e incluye enlaces a instaladores maliciosos a través del protocolo ms-appinstaller», dijo Microsoft. «La suplantación de identidad y la suplantación de software popular legítimo es una táctica común de ingeniería social».
Si se hace clic en los enlaces maliciosos, a los usuarios se les presenta la ventana del instalador de aplicaciones, que muestra un botón de instalación. Si se hace clic en ese botón, el paquete MSIX malicioso se instala junto con PowerShell adicional y scripts por lotes que implementan BATLOADER. Este cargador de malware se utiliza luego para implementar implantes adicionales como Cobalt Strike Beacon, la herramienta de exfiltración de datos Rclone y el ransomware Black Basta.
Otro agente de acceso identificado como Storm-1113 que también se especializa en la distribución de malware a través de anuncios de búsqueda también utilizó esta técnica a mediados de noviembre de 2023 para implementar un cargador de malware llamado EugenLoader falsificando las descargas de Zoom. Dado que este grupo ofrece implementación de malware como servicio, EugenLoader se ha utilizado para implementar una variedad de implantes, incluidos Gozi, Redline Stealer, IcedID, Smoke Loader, NetSupport Manager (también conocido como NetSupport RAT), Sectop RAT y Lumma Stealer. Otro grupo identificado como Sangria Tempest (también conocido como FIN7) utilizó EugenLoader en noviembre para eliminar su infame marco de malware Carbanak, que a su vez implementó el implante Gracewire.