微软禁用被黑客滥用的应用程序安装协议

Hackernews 编译，转载请注明出处：

微软关闭了一项旨在简化应用程序安装的功能，有黑客组织利用该功能传播恶意软件。

这项名为 ms-appinstaller 协议的功能基本上允许人们在向设备添加 Windows 应用程序时跳过一两个步骤。微软在一篇文章中说，网络犯罪分子发现它还提供了一种安装加载恶意软件的方法。

微软表示：“攻击者之所以选择 ms-appinstaller 协议处理程序，可能是因为它可以绕过旨在保护用户免受恶意软件攻击的机制，比如 Microsoft Defender SmartScreen 和内置的浏览器下载可执行文件格式警告。”

禁用该协议意味着 Windows 应用程序不能直接从服务器安装到设备上。相反，用户必须先下载软件包，然后运行应用安装程序。

微软将这些活动归因于他们追踪的 Storm-0569、Storm-1113、Storm-1674和Sangria Tempest。“Storm”这个标签指的是一个来历不明的团体。长期存在的网络犯罪组织 Sangria Tempest 也被网络安全研究人员追踪为 FIN7，并与 Clop 等勒索软件组织有关联。

微软表示，这些组织在11月和12月被发现“欺骗合法应用程序，引诱用户安装冒充合法应用程序的恶意MSIX软件包，并逃避初始安装文件的检测”。

网络犯罪分子的目标是安装允许进一步感染的加载器恶意软件，包括常见的数据泄露工具比如 IcedID，或勒索软件比如 Black Basta。

该公司对每个 Storm 小组活动的总结：

Storm-0569 是一个访问代理，专注于通过恶意广告和包含恶意下载网站链接的网络钓鱼邮件下载被入侵后的有效载荷，比如 BATLOADER。

Storm-1113 是一个威胁行为者，它既是一个通过搜索广告传播恶意软件的访问代理，也是一个提供恶意安装程序和登陆页面框架的‘即服务’实体。

Storm-1674 是一个访问代理，以使用基于公开可用的 TeamsPhisher 工具来分发 DarkGate 恶意软件而闻名。

与此同时，Sangria Tempest 被发现投放了 Carbanak，“这是该演员自2014年以来使用的一个后门，反过来又提供了 Gracewire 恶意软件。”微软此前曾在5月份报道过该组织。

Hackernews 编译，转载请注明出处，原文链接：https://hackernews.cc/archives/48639

消息来源：TheRecord，译者：Serene