Microsoft ha rilevato un incremento degli attacchi informatici che sfruttano gli installer MSIX per distribuire malware. Per questo motivo, l’azienda di Redmond ha rilasciato una nuova versione di App Installer che disattiva il protocollo in Windows 10 e 11. Un post descrive gli attacchi più recenti effettuati da quattro gruppi di cybercriminali.
Malware nascosti in pacchetti MSIX
Microsoft ha individuato diversi attacchi che sfruttano i pacchetti MSIX per installare malware sui computer delle vittime. Si tratta principalmente di applicazioni infette che vengono pubblicate su siti simili a quelli legittimi. Con la patch rilasciata ieri sera è stata risolta la vulnerabilità CVE-2021-43890, mentre nella versione 1.21.3421.0 o successive di App Installer è stato disattivato il protocollo MSIX.
Ciò significa che gli utenti non possono più installare le app direttamente dalle pagine web usando i pacchetti MSIX, ma devono scaricare prima il pacchetto sul computer. In questo modo verrà effettuata la scansione con le protezioni del browser e del sistema operativo, come Microsoft Defender SmartScreen.
Microsoft ha descritto gli attacchi effettuati da quattro gruppi di cybercriminali. Storm-0569 ha distribuito BATLOADER attraverso applicazioni pubblicate su siti simili a quelli originali. Gli utenti credono di installare Zoom, TeamViewer o AnyDesk, invece il computer viene infettato dal malware che successivamente scarica altri payload, tra cui IcedID e Black Basta.
Storm-1113 inganna gli utenti mostrando inserzioni pubblicitarie nei motori di ricerca per Zoom. Il sito fasullo distribuisce invece un pacchetto MSIX con EugenLoader che successivamente installa altri malware, tra cui Gozi, Redline Stealer, IcedID, Smoke Loader, NetSupport Manager, Sectop RAT e Lumma Stealer.
Sangria Tempest sfrutta l’infrastruttura di Storm-1113 (e quindi EugenLoader) per distribuire la backdoor Carbanak e successivamente il malware Gracewire. Infine, Storm-1674 invia messaggi tramite Teams con link a siti simili a quelli di OneDrive e SharePoint, sui quali ci sono installer MSIX che distribuiscono vari malware, tra cui SectopRAT e DarkGate.