ملخص:
أعلنت مايكروسوفت أنها قامت بتعطيل بروتوكول مثبت تطبيقات MSIX الذي كان يستخدم في هجمات البرمجيات الخبيثة. تم استغلال هذا البروتوكول لتوزيع برامج ضارة وخاصة الفدية الرقمية. الهجمات تشمل توزيع حزم برامج خبيثة عبر تطبيق Microsoft Teams وإعلانات مشبوهة عن برامج شهيرة على محركات البحث. مايكروسوفت قامت بتعطيل هذا البروتوكول لحماية المستخدمين من الهجمات القادمة.

قالت مايكروسوفت، يوم الخميس، إنها قامت مرة أخرى بتعطيل معالج بروتوكول ms-appinstaller افتراضيًا بعد إساءة استخدامه من قبل العديد من جهات التهديد لتوزيع البرامج الضارة.

وقال فريق Microsoft Threat Intelligence: "إن نشاط جهة التهديد الملحوظ يسيء استخدام التطبيق الحالي لمعالج بروتوكول ms-appinstaller باعتباره ناقل وصول للبرامج الضارة التي قد تؤدي إلى توزيع برامج الفدية" .

وأشار أيضًا إلى أن العديد من مجرمي الإنترنت يعرضون مجموعة من البرامج الضارة للبيع كخدمة تستفيد من تنسيق ملف MSIX ومعالج بروتوكول ms-appinstaller. دخلت التغييرات حيز التنفيذ في إصدار App Installer 1.21.3421.0 أو أعلى .

تتخذ الهجمات شكل حزم تطبيقات MSIX الضارة الموقعة والتي يتم توزيعها عبر مايكروسوفت تيمز Microsoft Teams أو إعلانات ضارة لبرامج شعبية مشروعة على محركات البحث مثل قوقل.

تمت ملاحظة ما لا يقل عن أربع مجموعات قرصنة مختلفة ذات دوافع مالية تستفيد من خدمة App Installer منذ منتصف نوفمبر 2023، وتستخدمها كنقطة دخول لمتابعة نشاط برامج الفدية التي يديرها الإنسان.

ستورم Storm-0569 وسيط وصول أولي ينشر BATLOADER من خلال تحسين محركات البحث (SEO) عبر المواقع التي تنتحل تطبيقيات زووم Zoom وتابليو Tableau وتيم فيور TeamViewer وإني ديسك AnyDesk، وتستخدم البرامج الضارة لتوصيل Cobalt Strike وتسليم الوصول إلى Storm-0506 لـ Black Basta نشر برامج الفدية.
Storm-1113 ، هو وسيط وصول أولي يستخدم مثبتات MSIX زائفة متنكرة في صورة Zoom لتوزيع EugenLoader (المعروف أيضًا باسم FakeBat)، والذي يعمل كقناة لمجموعة متنوعة من البرامج الضارة وأحصنة طروادة التي يمكن الوصول إليها عن بُعد.
Sangria Tempest (المعروف أيضًا باسم Carbon Spider وFIN7)، والذي يستخدم EugenLoader من Storm-1113 لإسقاط Carbanak الذي بدوره يوفر غرسة تسمى Gracewire . وبدلاً من ذلك، اعتمدت المجموعة على إعلانات Google لجذب المستخدمين إلى تنزيل حزم تطبيقات MSIX الضارة من الصفحات المقصودة المارقة لتوزيع POWERTRASH ، والذي يُستخدم بعد ذلك لتحميل NetSupport RAT وGracewire.
Storm-1674 ، وهو وسيط وصول أولي يرسل صفحات مقصودة تبدو غير ضارة متنكرة في شكل Microsoft OneDrive وSharePoint من خلال رسائل Teams باستخدام أداة TeamsPhisher ، ويحث المستلمين على فتح ملفات PDF التي، عند النقر عليها، تطالبهم بتحديث Adobe Acrobat Reader الخاص بهم لتنزيلها مثبت MSIX ضار يحتوي على حمولات SectopRAT أو DarkGate .
وصفت Microsoft Storm-1113 بأنه كيان يعمل أيضًا في "كخدمة"، حيث يوفر أدوات تثبيت ضارة وأطر عمل للصفحات المقصودة تحاكي البرامج المعروفة لجهات تهديد أخرى مثل Sangria Tempest وStorm-1674.

وقالت مايكروسوفت: "من المحتمل أن تكون الجهات الفاعلة في مجال التهديد قد اختارت ناقل معالج بروتوكول ms-appinstaller لأنه يمكنه تجاوز الآليات المصممة للمساعدة في الحفاظ على أمان المستخدمين من البرامج الضارة، مثل Microsoft Defender SmartScreen وتحذيرات المتصفح المضمنة لتنزيلات تنسيقات الملفات القابلة للتنفيذ

MSIX هو تنسيق حزمة تطبيق قابل للتثبيت والتشغيل على منصات مايكروسوفت مثل Windows 10 وWindows 11. يستخدم MSIX تقنيات حزم التطبيقات الحديثة لتوفير تثبيت وتحديث وإدارة تطبيقات الويندوز بطريقة فعالة وآمنة. يتم توقيع حزم التطبيقات MSIX بشهادة رقمية لضمان أصالتها ومصداقيتها.

المصدر: The Hacker News