En respuesta a la creciente amenaza de ataques de malware, el equipo de Microsoft Project ha tomado medidas rápidamente deshabilitando el controlador de protocolo ms-appinstaller, del que tanto se abusa. Este movimiento estratégico es parte de los esfuerzos de Microsoft para utilizar sus herramientas de inteligencia sobre amenazas cibernéticas para contrarrestar la alarmante explotación de este protocolo por parte de múltiples actores de amenazas que intentan distribuir malware. Los ataques de ransomware se vislumbran como un riesgo importante.

Revelando la amenaza

El equipo de Microsoft Threat Intelligence, aprovechando herramientas avanzadas de inteligencia sobre amenazas cibernéticas, descubrió la explotación del controlador de protocolo ms-appinstaller como vector de acceso para la distribución de malware. Como resultado, la empresa decidió desactivar el controlador de protocolo de forma predeterminada. La empresa tiene como objetivo proteger a los usuarios de peligros potenciales asociados con actividades maliciosas.

Malware Microsoft Project: Kit a la venta

Para agravar la amenaza, los ciberdelincuentes venden activamente un kit de malware como servicio, aprovechando el formato de archivo MSIX y el controlador de protocolo ms-appinstaller. Para abordar esta amenaza emergente, Microsoft implementó cambios en la versión 1.21.3421.0 y superior del instalador de aplicaciones, un testimonio del valor de las fuentes efectivas de inteligencia sobre amenazas.

Método de ataque

Los ataques orquestados por al menos cuatro grupos de hackers con motivación financiera implican el despliegue de paquetes de aplicaciones MSIX maliciosos firmados. Los estafadores distribuyen engañosamente estos paquetes a través de canales confiables como Microsoft Teams. También los disfrazan como anuncios de software legítimo en motores de búsqueda como Google.

Diversos actores de amenazas en acción

Se han identificado varios grupos de piratas informáticos que explotan el servicio App Installer desde mediados de noviembre de 2023. Cada uno emplea tácticas distintas y subraya la necesidad de contar con fuentes sólidas de inteligencia sobre amenazas:

1. Tormenta-0569: Utiliza el envenenamiento de SEO con sitios falsificados para propagar BATLOADER, implementando el ransomware Cobalt Strike y Black Basta.
2. Tormenta-1113: Distribuye EugenLoader disfrazado de Zoom, que sirve como punto de entrada para diversos programas maliciosos ladrones y troyanos de acceso remoto.
3. Sangria Tempest (Carbon Spider y FIN7): Aprovecha EugenLoader de Storm-1113 para eliminar Carbanak y distribuir POWERTRASH a través de anuncios de Google.
4. Tormenta-1674: Envía páginas de destino falsas a través de mensajes de Teams. También anima a los usuarios a descargar instaladores MSIX maliciosos que contienen cargas útiles de SectopRAT o DarkGate.

Microsoft: amenazas persistentes y acciones pasadas

Esta no es la primera vez que Microsoft desactiva el controlador de protocolo MSIX ms-appinstaller. En febrero de 2022, el compañía también ha dado un paso similar para frustrar la entrega de Emotet, TrickBot y Bazaloader. El atractivo del protocolo para los actores de amenazas radica en su capacidad para eludir los mecanismos de seguridad. Sin embargo, esto plantea un desafío importante para la seguridad del usuario.

Mientras Microsoft enumera sus acciones pasadas y se mantiene alerta para combatir las cambiantes amenazas a la ciberseguridad, insta a los usuarios a mantenerse informados y emplear las mejores prácticas para mejorar su seguridad digital. Esto incluye actualizaciones periódicas, tener cuidado con las descargas y mantenerse informado sobre las amenazas emergentes en el panorama en constante evolución de la seguridad en línea, destacando la importancia de las herramientas de inteligencia sobre amenazas cibernéticas.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.financebrokerage.com/microsoft-takes-action-why-is-it-disabling-key-protocol/