Microsoft опять отключила протокол ms-appinstaller для формата пакетов MSIX, причина та же — использование его в атаках киберпреступных группировок на пользователей Windows.
В частности, атакующие эксплуатируют уязвимость под идентификатором CVE-2021-43890, которую Microsoft устранила в этом месяце. Тогда брешь связывали с операциями Emotet.
Злоумышленники задействовали вредоносную рекламу популярных приложений вкупе с фишинговыми сообщениями в Microsoft Teams, чтобы подсовывать жертвам подписанные пакеты софта в формате MSIX.
«С середины ноября 2023 года команда Microsoft Threat Intelligence отслеживает активность киберпреступников из группировок Storm-0569, Storm-1113, Sangria Tempest и Storm-1674. Все они используют URI-схему ms-appinstaller для распространения вредоносов», — пишет Microsoft.
«Наши исследователи выяснили, что текущая имплементация обработчика протокола ms-appinstaller является вектором распространения программ-вымогателей. Многие злоумышленники также продают наборы, использующие формат файлов MSIX и обработчик протокола ms-appinstaller».
В феврале прошлого года Microsoft уже отключала ms-appinstaller. Тогда причиной называли атаки операторов Emotet.
