Microsoft Refuerza Medidas de Seguridad: Desactiva el Controlador ms-appinstaller para Combatir Malware

Microsoft anunció la desactivación, una vez más, del controlador de protocolo ms-appinstaller por defecto. Esta decisión se tomó debido al abuso continuo por parte de múltiples actores de amenazas que lo utilizan como vector de acceso para distribuir malware.

El equipo de Microsoft Threat Intelligence señaló que la actividad observada abusa de la implementación actual del controlador, llevando a la distribución de ransomware. Además, alertaron sobre la venta de un kit de malware como servicio que aprovecha el formato de archivo MSIX y el controlador del protocolo ms-appinstaller. Estos cambios se aplicaron en la versión 1.21.3421.0 o superior del instalador de aplicaciones.

Los ataques adoptan la forma de paquetes de aplicaciones MSIX maliciosas firmadas, distribuidas a través de Microsoft Teams o anuncios maliciosos en motores de búsqueda populares como Google. Desde mediados de noviembre de 2023, al menos cuatro grupos de piratas informáticos con motivación financiera han utilizado el servicio App Installer como punto de entrada para actividades de ransomware.

Grupos de Amenazas Identificados:

1. Storm-0569: Intermediario de acceso inicial que propaga BATLOADER a través de la suplantación de sitios como Zoom, Tableau, TeamViewer y AnyDesk. Utiliza malware para entregar Cobalt Strike y facilitar la implementación de ransomware.
2. Storm-1113: Agente de acceso inicial que utiliza instaladores MSIX falsos haciéndose pasar por Zoom para distribuir EugenLoader. Este actúa como conducto para una variedad de malware ladrón y troyanos de acceso remoto.
3. Sangria Tempest (Carbon Spider y FIN7): Utiliza el EugenLoader de Storm-1113 para distribuir Carbanak, que coloca un implante llamado Gracewire. También recurre a anuncios de Google para distribuir POWERTRASH y cargar NetSupport RAT y Gracewire.
4. Storm-1674: Agente de acceso inicial que envía páginas de destino falsas haciéndose pasar por Microsoft OneDrive y SharePoint. Utiliza la herramienta TeamsPhisher para mensajes de Teams, instando a los usuarios a abrir archivos PDF que, al hacer clic, descargan un instalador MSIX malicioso con SectopRAT o DarkGate.

Antecedentes de Desactivación del Controlador:

No es la primera vez que Microsoft toma esta medida. En febrero de 2022, deshabilitaron el controlador para prevenir el uso malicioso por parte de actores de amenazas que buscaban entregar Emotet, TrickBot y Bazaloader.

Microsoft afirmó que los actores de amenazas eligieron este vector porque puede eludir mecanismos de seguridad diseñados para proteger a los usuarios del malware, como Microsoft Defender SmartScreen y las advertencias integradas del navegador para descargas de archivos ejecutables.

Esta acción refleja el compromiso constante de Microsoft en mantener la seguridad de los usuarios frente a amenazas emergentes y destaca la necesidad continua de adaptarse a las tácticas cambiantes de los ciberdelincuentes. La colaboración de la comunidad de seguridad y la conciencia constante serán cruciales en la lucha contra las amenazas cibernéticas en evolución.