Microsoft disabilita gestore del protocollo MSIX usato dagli hacker

Microsoft ha nuovamente disabilitato il gestore del protocollo MSIX ms-appinstaller dopo che diversi gruppi hacker ne hanno abusato per infettare gli utenti Windows con malware. Gli aggressori hanno sfruttato la vulnerabilità di spoofing CVE-2021-43890 di Windows AppX Installer per aggirare le misure di sicurezza che proteggevano gli utenti Windows dal malware, come il componente antiphishing e antimalware Defender SmartScreen e gli avvisi del browser integrati che mettono in guardia gli utenti contro i download di file eseguibili. L’azienda di Redmond afferma che gli autori delle minacce utilizzano sia annunci pubblicitari dannosi per software popolari sia messaggi di phishing di Teams per lanciare pacchetti di applicazioni MSIX dannose firmate. Come ha spiegato la società sul sito ufficiale: “da novembre 2023, Microsoft Threat Intelligence ha osservato gli autori delle minacce, inclusi attori motivati ​​​​finanziariamente come Storm-0569, Storm-1113, Sangria Tempest e Storm-1674, utilizzare lo schema URI ms-appinstaller (App Installer) per distribuire malware”.

Microsoft: come funziona l’attacco sfruttando la vulnerabilità CVE-2021-43890

Diversi gruppi hacker sfruttano le tecniche di SEO Poisoning. Tali tecniche servono per emergere tra i primi risultati di ricerca su Google e Bing (ad esempio cercando applicazioni popolari come Zoom, Tableau e TeamViewer). Un utente scarica quindi il pacchetto dannoso dalla pagina di destinazione contraffatta presumendo che stia scaricando software legittimo. Una volta aperto il programma di installazione, viene presentato un processo di installazione simile a quello ufficiale, ma contenente il malware. Cliccando su “Installa”, il pacchetto dannoso viene installato sul computer delle vittime. Storm-1674 ha distribuito landing page falsificate per OneDrive e SharePoint tramite messaggi di Teams. In alcuni casi, è stato riscontrato che Storm-1674 utilizzava pacchetti dannosi sviluppati da Storm-1113. Per combattere questo sofisticato metodo di attacco, Microsoft ha iniziato a mostrare schermate di accettazione/blocco per gli utenti esterni in Teams. Inoltre, ha anche bloccato gli account dei tenant che si sono rivelati dannosi.

Durante quest'ultima ondata di attacchi sono state osservate numerose attività dannose. Tra queste vi sono l'esfiltrazione di dati, la gestione remota e il monitoraggio dei dispositivi infetti e l'installazione di vari payload come BATLOADER, Cobalt Strike Beacon, Redline stealer, Gozi, Smoke Loader e altri. Storm-1113 ha agito anche come fornitore di malware-as-a-service per alcuni altri autori di minacce. Per evitare ulteriori problemi, Microsoft ha disabilitato il gestore dello schema URI ms-appinstaller per impostazione predefinita nella versione più recente del programma di installazione dell'app. Come ricordano i colleghi di BleepingComputer, l'azienda di Redmond ha apportato la stessa modifica nel febbraio 2022. Non è quindi chiaro quale sia la causa del ripristino della modifica. Per proteggersi da tali attacchi è consigliata inoltre l'implementazione di metodi di autenticazione resistenti al phishing, la configurazione di criteri di accesso condizionale (CA) e l'abilitazione di meccanismi di sicurezza avanzati in Microsoft Defender per Office 365.