Microsoft по умолчанию отключила обработчик протокола ms-appinstaller — того самого, что стоит за приложением App Installer в Windows. Причина в том, что финансово мотивированные группировки массово использовали его как точку входа для доставки вредоносного ПО, включая программы-вымогатели.
«Наблюдаемая активность злоумышленников злоупотребляет текущей реализацией обработчика протокола ms-appinstaller как вектором доступа для вредоносного ПО, которое может привести к распространению шифровальщиков», — заявили в команде Microsoft Threat Intelligence.
Почему выбрали именно этот протокол
Атакующим он приглянулся не случайно: ms-appinstaller позволяет обойти защитные механизмы вроде Microsoft Defender SmartScreen и встроенные предупреждения браузеров при скачивании исполняемых файлов — то есть именно те барьеры, которые обычно останавливают пользователя перед установкой чего-то опасного. По данным Microsoft, через App Installer в атаки на организации проникали сразу несколько группировок, действующих вручную (human-operated ransomware): Storm-0569, Storm-1113, Sangria Tempest и Storm-1674.
Схема типовая: жертву заманивают на поддельную страницу, где под видом легитимного софта предлагается вредоносный MSIX-пакет, замаскированный так, чтобы избежать обнаружения на этапе установки.
Как действовали конкретные группировки
Storm-0569 применяла SEO-отравление (SEO poisoning) — продвигала в поиске сайты, имитирующие страницы загрузки известных программ: AnyDesk, Zoom, Tableau и TeamViewer. Пользователь, искавший в Bing или Google легитимное приложение, натыкался на ссылку на вредоносный установщик через протокол ms-appinstaller на странице-двойнике. Так группировка распространяла загрузчик BATLOADER.
Storm-1113 продвигала свой загрузчик EugenLoader через рекламу в поиске, замаскированную под приложение Zoom. Пользователь, зашедший на скомпрометированный сайт, скачивал вредоносный MSIX-инсталлятор — EugenLoader, который затем подтягивал на устройство другие полезные нагрузки: инфостилер Lumma, Sectop RAT, Gozi, Redline stealer, IcedID, Smoke Loader и NetSupport Manager (он же NetSupport RAT).
Тот же EugenLoader от Storm-1113, распространяемый через вредоносные MSIX-пакеты, использует и группировка Sangria Tempest — финансово мотивированные киберпреступники, ранее известные как ELBRUS, а также отслеживаемые под именами Carbon Spider и FIN7. Через EugenLoader они доставляют бэкдор Carbanak, которым пользуются с 2014 года, а тот, в свою очередь, разворачивает имплант Gracewire. Основная специализация Sangria Tempest — развёртывание программ-вымогателей, в частности Clop, либо целевое вымогательство после кражи данных.
Storm-1674 действовала иначе: группировка рассылала сообщения через Microsoft Teams с поддельными посадочными страницами, имитирующими как сторонние компании, так и сервисы самой Microsoft — SharePoint и OneDrive. Атакующие создавали свои тенанты и через функцию чата встреч назначали созвоны с потенциальными жертвами, чтобы завязать с ними коммуникацию.
Что рекомендует Microsoft
Помимо отключения протокола ms-appinstaller по умолчанию, компания советует организациям:
- внедрить методы аутентификации пользователей, устойчивые к фишингу;
- настроить Conditional Access с требованием усиленной, устойчивой к фишингу аутентификации;
- обучить пользователей Microsoft Teams проверять метку «External» при обращениях от внешних контактов;
- поощрять использование Microsoft Edge и других браузеров, поддерживающих Microsoft Defender SmartScreen;
- настроить Microsoft Defender для Office 365 на повторную проверку ссылок при клике;
- включить правила сокращения поверхности атаки (attack surface reduction rules) для блокировки типовых техник злоумышленников.
Источник: Cybersecurity News.