根据Microsoft威胁情报团队的说法,被标记为“出于经济动机”的威胁参与者利用ms-appinstaller URI方案进行恶意软件分发。Microsoft已禁用应用程序安装程序功能,以保护用户并防止威胁行为者恶意利用其产品和功能。
据Microsoft威胁情报报告,ms-appinstaller URI方案允许用户使用MSIX包安装程序直接从网站下载和安装应用程序,该方案在恶意活动中被滥用。
研究人员发现,“出于经济动机”的威胁行为者使用ms-appinstaller URI方案进行恶意软件分发,促使Microsoft默认禁用该协议处理程序。
供您参考,ms-appinstaller URI方案可让网站跳过下载和安装步骤,直接无缝方便地安装应用程序。
然而,微软安全响应中心(MSRC)发现网络犯罪分子通过“社会工程和网络钓鱼技术”滥用该功能,让人们通过该协议下载恶意应用程序。
据报道,它被用作恶意软件的访问向量,可能导致勒索软件分发。网络犯罪分子正在销售利用 MSIX 文件格式和处理程序的恶意软件套件。他们通过网站和流行软件的恶意广告分发签名的恶意软件包。
威胁行为者可能选择此向量,因为它可以绕过Microsoft Defender SmartScreen等安全措施和下载可执行文件时的浏览器警告。这项活动的程度仍然未知。然而,多个威胁行为者正在滥用此功能。
选择此向量可能是因为它可以绕过Microsoft Defender SmartScreen等安全措施以及下载可执行文件时的浏览器警告。这项活动的程度仍然未知。然而,多个威胁行为者正在滥用此功能。
根据Mircosoft的博客文章,11月中旬,微软检测到Storm-1113的EugenLoader恶意软件通过模仿Zoom应用程序的搜索广告传播。当有人访问受感染的网站时,会下载恶意 MSIX 安装程序以及其他有效负载,包括Gozi、Redlinestealer、IcedID、Smoke Loader、NetSupport Manager、 Sectop RAT和Lummastealer等恶意软件。
同月,网络犯罪组织Sangria Tempest使用EugenLoader和Carbanak后门传播恶意软件植入。它还使用Google广告来引诱用户下载恶意MSIX软件包,从而导致POWERTRASH的传送,该程序会加载NetSupport和Gracewire(通常与Lace Tempest 相关)。
12月初,Storm-0569被发现通过SEO中毒分发BATLOADER,欺骗Zoom、Tableau、TeamViewer和AnyDesk等合法软件下载。
大约在同一时间,Storm-1674通过Teams上的消息传递虚假登陆页面,欺骗OneDrive和SharePoint等Microsoft服务。威胁行为者创建的租户引诱用户下载欺骗性应用程序,可能会删除SectopRAT或DarkGate。
MSRC发布了CVE-2021-43890的“重要”安全更新,该更新禁用App Installer版本1.21.3421.0中的ms-appinstaller URI方案处理程序。这意味着用户无法使用此协议从网站下载和安装应用程序。
相反,MSIX包会下载到存储设备,用户必须手动安装该应用。微软将继续监控恶意活动,并建议不要从未知网站下载或安装应用程序。
为了减少威胁,Microsoft建议为用户实施防网络钓鱼的身份验证方法,为员工和关键应用程序的外部用户实施条件访问身份验证强度,并教育Microsoft Teams用户验证通信尝试的外部标记。
评论已关闭。