Nixse
By Beatriz Barbosa da Costa
Microsoft Takes Swift Action: Why Is it Disabling Key Protocol?
0

Microsoft toma medidas rápidas desativando o ms-appinstaller

Em resposta à crescente ameaça de ataques de malware, a equipe do Microsoft Project tomou medidas rápidas, desativando o manipulador de protocolo ms-appinstaller, amplamente utilizado. Este movimento estratégico faz parte dos esforços da Microsoft para utilizar as suas ferramentas de inteligência contra ameaças cibernéticas para combater a exploração alarmante deste protocolo por vários agentes de ameaças com a intenção de distribuir malware. Os ataques de ransomware representam um risco significativo.

A equipe de Inteligência de Ameaças da Microsoft, aproveitando ferramentas avançadas de inteligência contra ameaças cibernéticas, descobriu a exploração do manipulador de protocolo ms-appinstaller como um vetor de acesso para distribuição de malware. Como resultado, a empresa decidiu desabilitar o manipulador de protocolo por padrão para proteger os usuários de perigos potenciais associados a atividades maliciosas.

Para agravar a ameaça, os cibercriminosos estão vendendo ativamente um kit de malware como serviço, aproveitando o formato de arquivo MSIX e o manipulador de protocolo ms-appinstaller. Para enfrentar esta ameaça emergente, a Microsoft implementou alterações no App Installer versão 1.21.3421.0 e superior, uma prova do valor de feeds eficazes de inteligência de ameaças.

Método de ataque

Os ataques orquestrados por pelo menos quatro grupos de hackers com motivação financeira envolvem a implantação de pacotes de aplicativos MSIX maliciosos assinados. Os golpistas distribuem esses pacotes de forma enganosa por meio de canais confiáveis, como o Microsoft Teams. Eles também os disfarçam como anúncios de software legítimo em mecanismos de pesquisa como o Google.

Vários grupos de hackers foram identificados explorando o serviço App Installer desde meados de novembro de 2023. Cada um emprega táticas distintas e ressalta a necessidade de feeds robustos de inteligência sobre ameaças:

  1. Storm-0569: Usa envenenamento de SEO com sites falsificados para propagar BATLOADER, implantando ransomware Cobalt Strike e Black Basta.
  2. Storm-1113: Distribui o EugenLoader disfarçado de Zoom , servindo como ponto de entrada para vários malwares ladrões e trojans de acesso remoto.
  3. Sangria Tempest (Carbon Spider e FIN7): aproveita o EugenLoader do Storm-1113 para lançar Carbanak e distribuir POWERTRASH por meio de anúncios do Google.
  4. Storm-1674: Envia landing pages falsas por meio de mensagens do Teams. Ele também incentiva os usuários a baixar instaladores MSIX maliciosos contendo cargas úteis SectopRAT ou DarkGate.

Microsoft: ameaças persistentes e ações anteriores

Esta não é a primeira vez que a Microsoft desativa o manipulador de protocolo MSIX ms-appinstaller. Em fevereiro de 2022, a empresa também tomou uma medida semelhante para impedir a entrega de Emotet, TrickBot e Bazaloader. A atratividade do protocolo para os atores de ameaças reside na sua capacidade de contornar os mecanismos de segurança. No entanto, isso representa um desafio significativo para a segurança do usuário.

À medida que a Microsoft lista as suas ações passadas e permanece vigilante no combate às crescentes ameaças à segurança cibernética, insta os utilizadores a manterem-se informados e a empregarem as melhores práticas para melhorar a sua segurança digital. Isto inclui atualizações regulares, ter cautela com downloads e manter-se informado sobre ameaças emergentes no cenário em constante evolução da segurança online, destacando a importância das ferramentas de inteligência contra ameaças cibernéticas.



você pode gostar também
Tecnologia

IA agita Wall Street: Microsoft e Alphabet sobem 31% e 28%

Tecnologia

Microsoft supera estimativas com receita de US$ 61,9 bi

Tecnologia

Avatares gerados por IA da Synthesia simulam emoções

Tecnologia

Decisão histórica do senado americano de banir o TikTok 

Deixe uma resposta

Seu endereço de email não será publicado.