- Storm-0569: Utiliza el envenenamiento SEO con sitios falsos para propagar BATLOADER, desplegando los ransomware Cobalt Strike y Black Basta.
- Tormenta-1113: Distribuye EugenLoader disfrazado de Zoom, sirviendo como punto de entrada para varios malware stealer y troyanos de acceso remoto.
- Sangria Tempest (Carbon Spider y FIN7): Aprovecha el EugenLoader de Storm-1113 para soltar Carbanak y distribuir POWERTRASH a través de anuncios de Google.
- Storm-1674: Envía páginas de destino falsas a través de mensajes de Teams. También anima a los usuarios a descargar instaladores MSIX maliciosos que contienen cargas útiles SectopRAT o DarkGate.
Microsoft: Amenazas persistentes y acciones pasadas
No es la primera vez que Microsoft desactiva el gestor de protocolo ms-appinstaller de MSIX. En febrero de 2022, la empresa también tomó una medida similar para frustrar la distribución de Emotet, TrickBot y Bazaloader. El atractivo del protocolo para los actores de amenazas reside en su capacidad para eludir los mecanismos de seguridad. Sin embargo, esto supone un reto importante para la seguridad de los usuarios.
Mientras Microsoft enumera sus acciones pasadas y permanece vigilante en la lucha contra las amenazas de ciberseguridad en evolución, insta a los usuarios a mantenerse informados y a emplear las mejores prácticas para mejorar su seguridad digital. Esto incluye actualizaciones periódicas, tener precaución con las descargas y mantenerse informado sobre las amenazas emergentes en el panorama en constante evolución de la seguridad en línea, destacando la importancia de las herramientas de inteligencia sobre ciberamenazas.