微软最近对一个旨在简化 Windows 应用安装的功能进行了限制,因为多个威胁组织被发现利用该功能欺骗受害者下载恶意软件。这一举措表明,微软在面对网络安全问题时,必须采取严格措施来保护用户安全。
这并非微软第一次因为与 App Installer 相关的安全问题采取行动。该功能是一个处理 MSIX 包装格式 的协议处理程序。早在 2022 年 2 月,由于发现了一个欺骗性漏洞 CVE202143890,微软停止了该功能的使用,此漏洞曾被用来传播 Emotet 恶意软件。该功能在几个月后经过修补程序后重新启用。
在 上周的博文 中,微软的威胁情报团队指出,msappinstaller 协议处理程序仍然可用,但在经过观察后,此功能默认已被禁用。发现多个经济利益驱动的威胁组织在 11 月和 12 月期间利用该功能分发恶意软件。
在滥用该功能的组织中,包括微软跟踪的 FIN7代号:Sangria Tempest。微软还识别出三个其他未知的新兴或正在发展的组织,这些组织的名称以“Storm”开头。
“威胁行为者之所以选择 msappinstaller 协议处理程序作为攻击手段,是因为它可以绕过微软 Defender SmartScreen 和浏览器针对可执行文件格式下载的内置警告机制,这些机制旨在保护用户免受恶意软件的威胁。” 威胁情报团队在文章中表示。
其中,第一个新兴组织 Storm0569 被发现通过 SEO 劫持SEO poisoning向受害者分发 BatLoader 恶意软件,采用伪装合法下载的恶意网站,包括 Zoom、Tableau、TeamViewer 和 AnyDesk 等流行应用。
clash配置购买网站“Storm0569 是一个专注于下载后滥用有效负载的访问中介,通过恶意广告和包含恶意链接的钓鱼电子邮件将用户引导至下载网站”,威胁情报团队表示。“该威胁行为者还向其他攻击者提供恶性安装程序和着陆页框架。”
第二个威胁组织 Storm1113 被观察到正在部署恶意 MSIX 安装程序 EugenLoader,并用其进一步传播恶意有效负载。与 Storm0569 一样,它也使用恶意搜索广告引导受害者访问假下载网站。
FIN7 被发现利用 Storm1113 的 EugenLoader 恶意软件,通过 MSIX 包安装进行攻击,随后放置 Carbanak,该后门自 2014 年以来一直被这个历史悠久的威胁组织使用。
最后一个被识别的组织 Storm1674 通过利用 Microsoft Teams 发送的消息提供假着陆页。
“这些着陆页伪装成微软的服务,如 OneDrive 和 SharePoint,以及其他公司所提供的服务。该威胁行为者创建的租户被用来创建会议并利用会议的聊天功能向潜在受害者发送聊天消息,”文章中表示。“微软已采取行动,通过阻止确认恶意租户发送消息,从而切断了用于网络钓
镇江市丹徒区上党镇北汽大道1号
