Windows ima veliki broj funkcija koje prosječan korisnik ne primjećuje, ali su ključne za normalno funkcioniranje tog operativnog sistema. Ali, kada hakeri otkriju jednu od tih funkcija i počnu da ih aktivno upotrebljavaju za upade u računare, Microsoft je prisiljen da reaguje.
Protokol ms-appinstaller
Tako su iz kompanije objavili da su onemogućili funkciju namijenjenu pojednostavljenju instalacija aplikacija, nakon što je otkriveno da hakeri tu funkciju koriste za distribuciju zlonamjernog softvera.
Funkcija protokol ms-appinstaller omogućava korisnicima da prilikom instalacije Windows aplikacija preskoče korak ili dva i tako pojednostave čitav proces. Međutim, to su otkrili i hakeri pa su iskoristili tu funkciju za instaliranje zlonamjernog softvera za učitavanje, objavljeno je na blogu Microsoft Threat Intelligencea, piše B92.
Zlonamjerni akteri vjerovatno su ga odabrali jer može da zaobiđe mehanizme dizajnirane da zaštite korisnike od zlonamjernog softvera, kao što su Microsoft Defender SmartScreen i ugrađena upozorenja preglednika za preuzimanja formata izvršnih datoteka, ističu iz Microsofta.
Oznaka "Storm"
Zato su u Microsoftu tu funkciju privremeno onemogućili, što za korisnike znači da se aplikacije neće instalirati direktno sa servera na uređaj, već će korisnici prvo morati da preuzmu softverski paket, a zatim da pokrenu App Installer.
Microsoft je ove zlonamjerne aktivnosti pripisao grupama koje prati kao Storm-0569, Storm-1113, Storm-1674 i Sangria Tempest. Oznaka "Storm" odnosi se na grupu čije je porijeklo nepoznato kompaniji. Sangria Tempest dobro je poznata grupa cyber kriminalaca i povezana je s ransomware grupama kao što je Clop.
Grupe su u novembru i decembru otkrile da su "namamile korisnike da instaliraju zlonamjerne MSIX pakete predstavljajući se kao legitimne aplikacije i izbjegavale otkrivanje početnih instalacionih datoteka".
Cyber kriminalci namjeravali su da instaliraju zlonamjerni softver za učitavanje koji je omogućio daljnje infekcije, uključujući uobičajene alate za eksfiltraciju podataka kao što je IcedID ili ransomware kao što je Black Basta, ističu iz Microsofta.