Siber Muhbir

Microsoft Tehdit İstihbaratı ekibi, "Gözlemlenen tehdit aktörü etkinliği, fidye yazılımı dağıtımına yol açabilecek kötü amaçlı yazılımlar için bir erişim vektörü olarak ms-appinstaller protokol işleyicisinin mevcut uygulamasını kötüye kullanıyor" dedi.

Ayrıca, birkaç siber suçlunun MSIX dosya biçimini ve ms-appinstaller protokol işleyicisini kullanan bir hizmet olarak satışa sunulan bir kötü amaçlı yazılım kiti sunduğunu belirtti. Değişiklikler, App Installer sürüm 1.21.3421.0 veya üzeri sürümlerde yürürlüğe girmiştir.

Saldırılar, Microsoft Teams aracılığıyla dağıtılan imzalı kötü amaçlı MSIX uygulama paketleri veya Google gibi arama motorlarındaki meşru popüler yazılımlar için kötü amaçlı reklamlar biçimini alır.

Kasım 2023'ün ortasından bu yana App Installer hizmetinden yararlanan ve bunu insan tarafından işletilen fidye yazılımı etkinliği için bir giriş noktası olarak kullanan en az dört farklı finansal güdümlü bilgisayar korsanlığı grubu gözlemlendi.

• Storm-0569, Zoom, Tableau, TeamViewer ve AnyDesk'i taklit eden sitelerle arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla BATLOADER'ı yayan ve kötü amaçlı yazılımı Cobalt Strike'ı teslim etmek ve Black Basta fidye yazılımı dağıtımı için Storm-0506'ya erişimi devretmek için kullanan bir ilk erişim aracısı.

• Storm-1113, çeşitli hırsız kötü amaçlı yazılımlar ve uzaktan erişim truva atları için bir kanal görevi gören EugenLoader'ı (diğer adıyla FakeBat) dağıtmak için Zoom kılığına girmiş sahte MSIX yükleyicilerini kullanan bir ilk erişim aracısı.

• Sangria Tempest (diğer adıyla Carbon Spider ve FIN7), Carbanak'ı düşürmek için Storm-1113'ün EugenLoader'ını kullanıyor ve bu da Gracewire adlı bir implant sağlıyor. Alternatif olarak, grup, kullanıcıları POWERTRASH'i dağıtmak için sahte açılış sayfalarından kötü amaçlı MSIX uygulama paketlerini indirmeye ikna etmek için Google reklamlarına güvendi ve bu paketler daha sonra NetSupport RAT ve Gracewire'ı yüklemek için kullanıldı.

• Storm-1674, TeamsPhisher aracını kullanarak Teams mesajları aracılığıyla Microsoft OneDrive ve SharePoint gibi görünen zararsız görünen açılış sayfaları gönderen ve alıcıları tıklandığında SectopRAT veya DarkGate yükleri içeren kötü amaçlı bir MSIX yükleyicisini indirmek için Adobe Acrobat Reader'larını güncellemelerini isteyen PDF dosyalarını açmaya teşvik eden bir ilk erişim aracısı.

Microsoft, Storm-1113'ü "hizmet olarak" da uğraşan bir varlık olarak tanımladı ve Sangria Tempest ve Storm-1674 gibi diğer tehdit aktörlerine iyi bilinen yazılımları taklit eden kötü amaçlı yükleyiciler ve açılış sayfası çerçeveleri sağladı.

Ekim 2023'te Elastic Security Labs, GHOSTPULSE adlı bir kötü amaçlı yazılım yükleyiciyi dağıtmak için Google Chrome, Microsoft Edge, Brave, Grammarly ve Cisco Webex için sahte MSIX Windows uygulama paketi dosyalarının kullanıldığı başka bir kampanyayı ayrıntılı olarak açıkladı.

Bu, Microsoft'un Windows'ta MSIX ms-appinstaller protokol işleyicisini ilk kez devre dışı bırakması değil. Şubat 2022'de teknoloji devi, tehdit aktörlerinin Emotet, TrickBot ve Bazaloader'ı sunmak için onu silah haline getirmesini önlemek için aynı adımı attı.

Microsoft, "Tehdit aktörleri, kullanıcıları Microsoft Defender SmartScreen ve yürütülebilir dosya biçimlerinin indirilmesi için yerleşik tarayıcı uyarıları gibi kötü amaçlı yazılımlardan korumaya yardımcı olmak için tasarlanmış mekanizmaları atlayabildiği için büyük olasılıkla ms-appinstaller protokol işleyici vektörünü seçmiştir" dedi.