Witold Kepinski - 30 december 2023

Microsoft schakelt protocolhandler ms-appinstaller standaard uit

Sinds medio november 2023 heeft Microsoft Threat Intelligence bedreigingsactoren waargenomen, waaronder financieel gemotiveerde actoren als Storm-0569 , Storm-1113, Sangria Tempest en Storm-1674, waarbij gebruik wordt gemaakt van het ms-appinstaller URI-schema (App Installer) om malware te verspreiden. Microsoft heeft niet alleen ervoor gezorgd dat klanten beschermd zijn tegen waargenomen activiteit van aanvallers, maar ook het gebruik van App Installer bij deze aanvallen onderzocht. Als reactie op deze activiteit heeft Microsoft de protocolhandler ms-appinstaller standaard uitgeschakeld.

Microsoft schakelt protocolhandler ms-appinstaller standaard uit image

De waargenomen activiteiten van bedreigingsactoren maken misbruik van de huidige implementatie van de ms-appinstaller-protocolhandler als toegangsvector voor malware die kan leiden tot de verspreiding van ransomware. Meerdere cybercriminelen verkopen ook een malwarekit als een service die misbruik maakt van het MSIX-bestandsformaat en de ms-appinstaller-protocolhandler. Deze bedreigingsactoren verspreiden ondertekende kwaadaardige MSIX-applicatiepakketten via websites die toegankelijk zijn via kwaadaardige advertenties voor legitieme populaire software. Een tweede vector van phishing via Microsoft Teams wordt ook gebruikt door Storm-1674.

Bedreigingsactoren hebben waarschijnlijk gekozen voor de ms-appinstaller protocolhandlervector omdat deze mechanismen kan omzeilen die zijn ontworpen om gebruikers te beschermen tegen malware, zoals Microsoft Defender SmartScreen en ingebouwde browserwaarschuwingen voor downloads van uitvoerbare bestandsformaten.

In een blog geeft Microsoft een analyse van de activiteiten van financieel gemotiveerde dreigingsactoren die App Installer misbruiken, waargenomen sinds medio november 2023.