Hakeri su otkrili kako mogu da iskoriste Microsoftovu legitimnu funkciju za svoje ciljeve.
Windows ima veliki broj funkcija koje prosečan korisnik ne primećuje, ali su ključne za normalno funkcioniranje tog operativnog sistema. Ali, kada hakeri otkriju jednu od tih funkcija i počnu da ih aktivno upotrebljavaju za upade u računare, Microsoft je prisiljen da reaguje.
Tako su iz kompanije objavili da su onemogućili funkciju namenjenu pojednostavljenju instalacija aplikacija, nakon što je otkriveno da hakeri tu funkciju koriste za distribuciju zlonamernog softvera.
Funkcija, protokol ms-appinstaller, omogućava korisnicima da prilikom instalacije Windows aplikacija preskoče korak ili dva i tako pojednostve čitav proces. Međutim, to su otkrili i hakeri pa su iskoristili tu funkciju za instaliranje zlonamernog softvera za učitavanje, objavljeno je na blogu Microsoft Threat Intelligencea.
Zlonamerni akteri verovatno su ga odabrali jer može da zaobiđe mehanizme dizajnirane da zaštite korisnike od zlonamernog softvera, kao što su Microsoft Defender SmartScreen i ugrađena upozorenja pregledača za preuzimanja formata izvršnih datoteka, ističu iz Microsofta.
Zato su u Microsoftu tu funkciju privremeno onemogućili, što za korisnike znači da se aplikacije neće instalirati direktno sa servera na uređaj, već će korisnici prvo morati da preuzmu softverski paket, a zatim da pokrenu App Installer.
Microsoft je ove zlonamerne aktivnosti pripisao grupama koje prati kao Storm-0569, Storm-1113, Storm-1674 i Sangria Tempest. Oznaka “Storm” odnosi se na grupu čije je poreklo nepoznato kompaniji. Sangria Tempest, dobro je poznata grupa sajber kriminalaca i povezana je s ransomware grupama kao što je Clop.
Grupe su u novembru i decembru otkrile da su “namamile korisnike da instaliraju zlonamerne MSIX pakete predstavljajući se kao legitimne aplikacije i izbegavale otkrivanje početnih instalacionih datoteka”.
Sajber kriminalci nameravali su da instaliraju zlonamerni softver za učitavanje koji je omogućio daljnje infekcije, uključujući uobičajene alate za eksfiltraciju podataka kao što je IcedID ili ransomware kao što je Black Basta, ističu iz Microsofta.
B92.