Microsoft toma medidas rápidas: ¿Por qué desactiva un protocolo clave?
En respuesta a la creciente amenaza de ataques de malware, el equipo de Microsoft Project ha tomado rápidamente medidas deshabilitando el manejador de protocolo ms-appinstaller, del que tanto se abusa. Este movimiento estratégico forma parte de los esfuerzos de Microsoft por utilizar sus herramientas de inteligencia sobre ciberamenazas para contrarrestar la alarmante explotación de este protocolo por parte de múltiples actores de amenazas que pretenden distribuir malware. Los ataques de ransomware se perfilan como un riesgo importante.
Desvelar la amenaza
El equipo de inteligencia sobre amenazas de Microsoft, valiéndose de herramientas avanzadas de inteligencia sobre ciberamenazas, descubrió la explotación del manejador de protocolo ms-appinstaller como vector de acceso para la distribución de malware. Como resultado, la empresa decidió desactivar el manejador de protocolo por defecto. El objetivo de la empresa es proteger a los usuarios de posibles peligros asociados a actividades maliciosas.
Malware Microsoft Project: Kit en venta
Para agravar la amenaza, los ciberdelincuentes están vendiendo activamente un kit de malware como servicio, aprovechando el formato de archivo MSIX y el manejador de protocolo ms-appinstaller. Para hacer frente a esta amenaza emergente, Microsoft implementó cambios en la versión 1.21.3421.0 y superiores del instalador de aplicaciones, una prueba del valor de la información eficaz sobre amenazas.
Método de ataque
Los ataques orquestados por al menos cuatro grupos de piratas informáticos con motivaciones económicas implican el despliegue de paquetes de aplicaciones MSIX maliciosos firmados. Los estafadores distribuyen engañosamente estos paquetes a través de canales de confianza como Microsoft Teams. También los disfrazan de anuncios de software legítimo en motores de búsqueda como Google.
Diversos actores de amenazas en acción
Varios grupos de piratas informáticos han sido identificados explotando el servicio App Installer desde mediados de noviembre de 2023. Cada uno de ellos emplea tácticas distintas y subraya la necesidad de contar con fuentes sólidas de información sobre amenazas:
- Storm-0569: Utiliza el envenenamiento SEO con sitios falsos para propagar BATLOADER, desplegando los ransomware Cobalt Strike y Black Basta.
- Tormenta-1113: Distribuye EugenLoader disfrazado de Zoom, sirviendo como punto de entrada para varios malware stealer y troyanos de acceso remoto.
- Sangria Tempest (Carbon Spider y FIN7): Aprovecha el EugenLoader de Storm-1113 para soltar Carbanak y distribuir POWERTRASH a través de anuncios de Google.
- Storm-1674: Envía páginas de destino falsas a través de mensajes de Teams. También anima a los usuarios a descargar instaladores MSIX maliciosos que contienen cargas útiles SectopRAT o DarkGate.
Microsoft: Amenazas persistentes y acciones pasadas
No es la primera vez que Microsoft desactiva el gestor de protocolo ms-appinstaller de MSIX. En febrero de 2022, la empresa también tomó una medida similar para frustrar la distribución de Emotet, TrickBot y Bazaloader. El atractivo del protocolo para los actores de amenazas reside en su capacidad para eludir los mecanismos de seguridad. Sin embargo, esto supone un reto importante para la seguridad de los usuarios.
Mientras Microsoft enumera sus acciones pasadas y permanece vigilante en la lucha contra las amenazas de ciberseguridad en evolución, insta a los usuarios a mantenerse informados y a emplear las mejores prácticas para mejorar su seguridad digital. Esto incluye actualizaciones periódicas, tener precaución con las descargas y mantenerse informado sobre las amenazas emergentes en el panorama en constante evolución de la seguridad en línea, destacando la importancia de las herramientas de inteligencia sobre ciberamenazas.
