microsoft ha desactivado el controlador de protocolo ms-appinstaller de forma predeterminada después de encontrar nueva evidencia de que los piratas informáticos lo utilizan para implementar malware.
«La actividad observada del actor de amenazas abusa de la implementación actual del controlador de protocolo ms-appinstaller como vector de acceso para malware que puede conducir a la distribución de ransomware», dijo Microsoft en un nuevo aviso de seguridad.
Además, el gigante de Redmond vio a piratas informáticos vendiendo kits de malware en la web oscura, que utilizan el formato de archivo MSIX y el controlador de protocolo ms-appinstaller.
Cuatro actores de amenazas
Aparentemente, los actores de amenazas están creando anuncios falsos maliciosos para software legítimo y popular, para redirigir a las víctimas a sitios web bajo su control. Allí, los engañan para que descarguen malware. Un segundo vector de distribución es el phishing a través de Microsoft Teams, afirmó la compañía.
«Los actores de amenazas probablemente hayan elegido el vector de controlador de protocolo ms-appinstaller porque puede eludir los mecanismos diseñados para ayudar a mantener a los usuarios a salvo del malware, como Microsoft Defender SmartScreen y las advertencias integradas del navegador para descargas de formatos de archivos ejecutables», se lee en el aviso.
Desde mediados de noviembre de este año, al menos cuatro actores de amenazas abusaron del servicio App Installer, explicó Microsoft, siendo Storm-0569, Storm-1113, Sangria Tempest (también conocido como FIN7) y Storm-1674. El primero es un intermediario de acceso que normalmente otorga el acceso a Storm-0506, que luego implementa el ransomware Black Basta. FIN7, que los investigadores también observaron suplantando software bancario a principios de esta semana, utilizó el servicio App Installer para eliminar Gracewire, mientras que Storm-1674 se hace pasar por Microsoft OneDrive y SharePoint a través de mensajes de Teams.
El controlador está deshabilitado en la versión 1.21.3421.0 o superior del instalador de aplicaciones.
Esta no es la primera vez que se abusa de los archivos del paquete de aplicaciones MSIX de Windows en la distribución de malware. TheHackerNoticias dice. En octubre de 2023, Elastic Security Labs encontró dichos archivos para Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex se utilizan para distribuir un cargador de malware denominado GHOSTPULSE. Es más, Microsoft desactivó el controlador una vez antes, en febrero del año pasado.