Microsoft affronta l’abuso del protocollo URI ms-appinstaller

Microsoft Security Response Center (MSRC) ha scoperto che diversi attori delle di minacce abusano dello schema URI ms-appinstaller per la distribuzione di malware. Ciò ha indotto la stessa Microsoft a disabilitare per impostazione predefinita tale protocollo.

Lo schema URI ms-appinstaller, lo ricordiamo, consente agli utenti di scaricare e installare app direttamente dai siti Web utilizzando il programma di installazione del pacchetto MSIX che viene richiamato automaticamente.

Come avviene lo sfruttamento del protocollo

In pratica gli attaccanti attraverso tecniche di ingegneria sociale e phishing inducono le potenziali vittime a scaricare app malevole tramite questo protocollo anche per la distribuzione di ransomware. Secondo i ricercatori di Microsoft, sarebbero infatti diversi gli autori delle minacce che hanno scelto come vettore il protocollo ms-appinstaller per aggirare sia i meccanismi di protezione Microsoft Defender SmartScreen che gli avvisi integrati nei browser per i download di file eseguibili. Altrettanto numerosi anche i kit malware venduti come servizio che consentono di distribuire pacchetti applicativi MSIX malevoli firmati utilizzando siti Web propinati da falsi annunci per software popolari legittimi o tramite messaggi Microsoft Teams.

Gli attori coinvolti

Microsoft avrebbe osservato diversi attori utilizzare questo schema tra cui:

  • Storm-0569, un broker di accesso (IAB) che si concentra sul download di payload post-compromissione tramite e-mail phishing e malvertising contenenti link a siti per il download malevolo.
  • Storm-1113, un’altro IAB che focalizza la propria attività sulla distribuzione di malware attraverso annunci sulle pagine di ricerca. Può anche fornire programmi di installazione e framework per pagine di landing dannose secondo il paradigma “as-a-service“; 
  • Sangria Tempest, (anche noto come ELBRUS, Carbon Spider e FIN7) è un gruppo di criminali informatici motivato finanziariamente specializzato nel furto di dati, distribuzione di ransomware (Clop) ed estorsioni mirate;
  • Storm-1674, un broker di accesso noto per l’utilizzo di strumenti basati sullo strumento TeamsPhisher e per la distribuzione dei malware DarkGate, Pikabot e il ransomware Black Basta.

Attività rilevate

In particolare Microsoft avrebbe osservato all’inizio di dicembre il gruppo Storm-0569 distribuire BATLOADER tramite SEO Poisoning e spoofing di software legittimi come Zoom, Tableau, TeamViewer e AnyDesk mentre a metà novembre il gruppo Storm-1113 avrebbe utilizzato un programma di installazione MSIX dannoso spacciato per app Zoom con falsi annunci per distribuire il malware EugenLoader con altri payload aggiuntivi tra cui Gozi, Redline stealer, IcedID, Smoke Loader, NetSupport Manager, Sectop RAT e Lumma stealer.

Nello stesso periodo, anche il gruppo criminale Sangria Tempest sarebbe stato osservato utilizzare annunci Google avvelenati per indurre gli utenti a scaricare pacchetti MSIX dannosi per la distribuzione dei malware NetSupport e Gracewire mentre Storm-1674 sfruttando sempre la stessa vulnerabilità avrebbe veicolato tramite messaggi Teams falsi servizi Microsoft come OneDrive e SharePoint per rilasciare i malware SectopRAT o DarkGate .

Aggiornamento di sicurezza

MSRC ha rilasciato pertanto un aggiornamento per la vulnerabilità di sicurezza identificata come CVE-2021-43890, che disabilita di fatto per impostazione predefinita il gestore dello schema URI ms-appinstaller nel programma di installazione app versione 1.21.3421.0 e successive.

Ciò significa che gli utenti non potranno più installare un’app direttamente da una pagina Web utilizzando il programma di installazione del pacchetto MSIX. Invece, agli utenti verrà richiesto di scaricare prima il pacchetto MSIX per poterla installare, il che garantisce l’esecuzione delle protezioni antivirus installate localmente.“, si legge nel bollettino di sicurezza.

Per attenuare tale minaccia, Microsoft consiglia inoltre di implementare metodi di autenticazione resistenti al phishing con accesso condizionale e di istruire gli utenti di Microsoft Teams a verificare sempre le richieste di comunicazione da parte di entità esterne e di prestare attenzione sia alle condivisioni che alle autorizzazioni di accesso richieste tramite chat. Microsoft fa sapere che continuerà a monitorare le attività dannose e sconsiglia sempre di scaricare o installare app da siti Web sconosciuti.

Su Salvatore Lombardo 166 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.