Хакерите открија како можат да ја користат легитимната функција на Microsoft за свои цели.
Windows има голем број на функции кои просечниот корисник не ги забележува, но се клучни за нормално функционирање на тој оперативен систем. Но, кога хакерите ќе откријат една од тие карактеристики и ќе почнат активно да ја користат за да упаднат во компјутерите, Microsoft е принуден да реагира.
Така, компанијата објави дека ја оневозможила функцијата наменета за поедноставување на инсталациите на апликациите, откако беше откриено дека хакерите ја користат таа функција за дистрибуција на малициозен софтвер.
Функцијата, протоколот ms-appinstaller, им овозможува на корисниците да прескокнат чекор или два при инсталирање на Windows апликации, поедноставувајќи го целиот процес. Сепак, хакерите исто така го открија ова и ја искористија функцијата за да инсталираат малициозен софтвер за преземање, според блогот Microsoft Threat Intelligence.
Злонамерните актери веројатно го избрале затоа што може да ги заобиколи механизмите дизајнирани да ги заштитат корисниците од малициозен софтвер, како што е Microsoft Defender SmartScreen и предупредувањата за вградениот прелистувач за преземање формат на датотека со извршна датотека, рече Microsoft.
Затоа Microsoft привремено ја оневозможи таа функција, што за корисниците значи дека апликациите нема да се инсталираат директно од серверот на уредот, туку корисниците прво ќе треба да го преземат софтверскиот пакет, а потоа да го стартуваат App Installer.
Microsoft ја припиша оваа злонамерна активност на групите што ги следи како Storm-0569, Storm-1113, Storm-1674 и Sangria Tempest. Ознаката „Storm“ се однесува на група чие потекло е непознато за компанијата. Sangria Tempest, е добро позната група сајбер-криминалци и е поврзана со откупни групи како што е Clop.
Групите открија во ноември и декември дека „ги намамиле корисниците да инсталираат малициозни MSIX пакети претставувајќи се како легитимни апликации и избегнувајќи откривање на почетните инсталациони датотеки“.
Сајбер-криминалците имаа намера да инсталираат малициозен софтвер за вчитување што овозможува дополнителни инфекции, вклучително и вообичаени алатки за ексфилтрација на податоци, како што е IcedID или откупен софтвер како што е Black Basta, рече Microsoft.
