¿Sabías que Microsoft ha desactivado una herramienta clave utilizada por los ciberdelincuentes para distribuir malware?
En un esfuerzo por combatir las amenazas de seguridad, Microsoft ha deshabilitado por defecto el manejador del protocolo ms-appinstaller, una herramienta que ha sido ampliamente explotada por actores maliciosos para difundir malware. Esta acción, efectiva desde la versión 1.21.3421.0 del instalador de aplicaciones, responde al uso indebido del protocolo por parte de varios grupos de ciberdelincuentes que vendían kits de malware que aprovechaban el formato de archivo MSIX y el manejador del protocolo ms-appinstaller. Los ataques involucraban paquetes de aplicaciones MSIX maliciosas distribuidas a través de Microsoft Teams o anuncios maliciosos en motores de búsqueda como Google.
Al menos cuatro grupos de hackers con motivaciones financieras han explotado este servicio desde mediados de noviembre de 2023, utilizando diferentes estrategias como SEO poisoning, instaladores MSIX falsos y páginas de aterrizaje fraudulentas. Estos incluyen Storm-0569, Storm-1113, Sangria Tempest y Storm-1674, cada uno con su método distintivo para distribuir ransomware y otras formas de malware.
Esta no es la primera vez que Microsoft toma medidas contra este protocolo. En febrero de 2022, desactivó el manejador del protocolo ms-appinstaller para prevenir su explotación en la distribución de Emotet, TrickBot y Bazaloader. Según Microsoft, los actores de amenazas prefieren este vector porque puede eludir mecanismos de seguridad como Microsoft Defender SmartScreen y las advertencias de los navegadores para descargas de formatos de archivos ejecutables.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.