Η Microsoft απενεργοποίησε ξανά τον χειριστή πρωτοκόλλου MSIX ms-appinstaller μετά από πολλαπλές επιθέσεις από ομάδες με οικονομικά κίνητρα, οι οποίες το χρησιμοποίησαν για να μολύνουν χρήστες Windows με κακόβουλο λογισμικό.
Δείτε επίσης: Microsoft: Διορθώνει τα σφάλματα συνδεσιμότητας στην είσοδο του Office
Οι επιτιθέμενοι εκμεταλλεύτηκαν την ευπάθεια παραποίησης του CVE-2021-43890 στον εγκαταστάτη εφαρμογών Windows AppX για να παρακάμψουν τα μέτρα ασφαλείας που θα προστάτευαν διαφορετικά τους χρήστες των Windows από κακόβουλο λογισμικό, όπως το λογισμικό anti-phishing and anti-malware Defender SmartScreen και τις ενσωματωμένες ειδοποιήσεις του προγράμματος περιήγησης που προειδοποιούν τους χρήστες για τη λήψη εκτελέσιμων αρχείων.
Η Microsoft αναφέρει ότι οι κακόβουλοι δράστες χρησιμοποιούν τόσο κακόβουλες διαφημίσεις για δημοφιλές λογισμικό, όσο και αναφορές απάτης για το Microsoft Teams, προκειμένου να προωθήσουν υπογεγραμμένα κακόβουλα πακέτα εφαρμογών MSIX.
“Από τα μέσα Νοεμβρίου 2023, η Microsoft Threat Intelligence παρατήρησε ότι δράστες απειλών, όπως οι ομάδες Storm-0569, Storm-1113, Sangria Tempest και Storm-1674, χρησιμοποιούν το URI σχήμα ms-appinstaller (App Installer) για τη διανομή κακόβουλου λογισμικού“, όπως ανέφερε η εταιρεία.
Η παρατηρούμενη δραστηριότητα των κακόβουλων παραγόντων καταχράται την τρέχουσα υλοποίηση του πρωτοκόλλου χειριστή ms-appinstaller ως ένα διάνυσμα πρόσβασης για κακόβουλο λογισμικό που μπορεί να οδηγήσει στη διανομή ransomware αρχείων. Πολλοί κυβερνοεγκληματίες πωλούν επίσης ένα πακέτο κακόβουλου λογισμικού ως υπηρεσία που καταχράται τη μορφή αρχείου MSIX και τον χειριστή πρωτοκόλλου εγκατάστασης ms-app.
Η ομάδα χάκερ Sangria Tempest (επίσης γνωστή ως FIN7) συνδέεται με τα ransomware REvil και Maze, μετά τη συμμετοχή της στις προηγούμενες λειτουργίες των ransomware BlackMatter και DarkSide, οι οποίες πλέον έχουν καταργηθεί.
Δείτε ακόμα: Η διακοπή αναζήτησης του Microsoft 365 επηρεάζει τα Outlook, Teams και SharePoint
Σε μία αναφορά ιδιωτικής ανάλυσης απειλών της Microsoft που είδε το BleepingComputer, διαπιστώθηκε ότι η ομάδα FIN7 συνδέθηκε και με επιθέσεις που στόχευαν τους διακομιστές εκτύπωσης PaperCut, χρησιμοποιώντας Clop ransomware.
Στρατηγικές πρόληψης και προστασίας από τις επιθέσεις με κακόβουλο λογισμικό;
Η πρώτη στρατηγική πρόληψης και προστασίας από τις επιθέσεις με κακόβουλο λογισμικό είναι η εγκατάσταση και η ενημέρωση λογισμικού antivirus. Τα προγράμματα antivirus παρέχουν προστασία από την εισβολή κακόβουλου λογισμικού στον υπολογιστή σας και επιβλέπουν την δραστηριότητα του συστήματος για να εντοπίσουν ύποπτες συμπεριφορές.
Μια άλλη σημαντική στρατηγική είναι η ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που διορθώνουν κενά που θα μπορούσαν να εκμεταλλευτούν τα κακόβουλα λογισμικά.
Η εκπαίδευση των χρηστών είναι επίσης ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με το άνοιγμα ύποπτων e-mail, το κατέβασμα αρχείων από μη αξιόπιστες πηγές και την επίσκεψη σε μη ασφαλείς ιστοσελίδες.
Δείτε επίσης: Microsoft 365: Νέα διακοπή λειτουργίας προκαλεί προβλήματα συνδεσιμότητας
Τέλος, η δημιουργία και η διατήρηση αντιγράφων ασφαλείας των σημαντικών δεδομένων είναι μια αποτελεσματική στρατηγική προστασίας. Σε περίπτωση που ο υπολογιστής προσβληθεί από κακόβουλο λογισμικό, τα αντίγραφα ασφαλείας μπορούν να επαναφέρουν το σύστημα σε λειτουργική κατάσταση χωρίς απώλεια δεδομένων.
Πηγή: bleepingcomputer
