Microsoft пресекает злоупотребление протоколом ms-appinstaller

Корпорация Microsoft объявила 28 декабря, что отключила функцию, предназначенную для упрощения установки приложений в Windows, после того как было обнаружено, что группы хакеров, мотивированные финансовой выгодой, широко использовали её для распространения вредоносного ПО.

Протокол ms-appinstaller позволял пользователям устанавливать приложения на свои устройства, минуя некоторые шаги. Киберпреступники использовали его в том числе для установки загрузочного вредоносного ПО.

«Злоумышленники, вероятно, сделали свой выбор в пользу протокола ms-appinstaller, потому что он может обходить механизмы, разработанные для защиты пользователей от вредоносных программ, такие как Microsoft Defender SmartScreen и встроенные предупреждения браузера о загрузке исполняемых форматов файлов», — заявили в Microsoft.

Отключение протокола означает, что приложения Windows больше не будут иметь возможности устанавливаться напрямую с сервера на целевое устройство. Вместо этого пользователи должны будут сначала загрузить нужный программный пакет, а затем вручную запустить установщик приложений.

Microsoft связывает активность, злоупотребляющую протоколом ms-appinstaller с группами, которые она отслеживает под названиями Storm-0569, Storm-1113, Storm-1674 и Sangria Tempest. Метка «Storm» относится к группам с неизвестным происхождением для компании. Sangria Tempest, давно существующая группа киберпреступников, также известна как FIN7 у исследователей кибербезопасности и ранее была связана специалистами с группой вымогателей Clop.

В ноябре и декабре было обнаружено, что хакеры «подделывают законные приложения и заманивают пользователей к установке вредоносных пакетов MSIX, выдавая их за законные приложения и уклоняясь от обнаружения в исходных установочных файлах», — заявила Microsoft.

Целью киберпреступников была установка загрузочного вредоносного ПО, позволяющего осуществлять дальнейшие заражения, включая распространённые инструменты для извлечения данных, такие как IcedID, или вымогательское ПО, например Black Basta.

Данный инцидент наглядно демонстрирует, насколько изощрёнными могут быть методы киберпреступников в использовании уязвимостей технологий для распространения вредоносного ПО и получения финансовой выгоды. К сожалению, даже такие полезные инструменты, как протокол ms-appinstaller, могут быть использованы во зло.

Похвально, что корпорация Microsoft оперативно отреагировала на данную угрозу, отключив уязвимую функцию. Однако этот случай ещё раз подчёркивает важность постоянной бдительности и совершенствования мер кибербезопасности как со стороны разработчиков технологий, так и конечных пользователей.