Windowsi imaju pregršt značajki koje prosječan korisnik ne primjećuje, ali su ključne za normalno funkcioniranje tog operativnog sustava. No, kad hakeri otkriju jednu od tih značajki i počnu ju aktivno iskorištavati za upade u računala, Microsoft je prisiljen reagirati.
Tako su iz te tvrtke objavili kako su onemogućili značajku namijenjenu pojednostavljenju instalacija aplikacija nakon što je otkriveno da hakeri tu značajku koriste za distribuciju zlonamjernog softvera.
Značajka, protokol ms-appinstaller, omogućuje korisnicima da prilikom instalacije Windows aplikacija preskoče korak ili dva i tako pojednostve cijeli proces. Međutim, to su otkrili i hakeri te iskoristili tu značajku za instaliranje zlonamjernog softvera za učitavanje, objavljeno je na blogu Microsoft Threat Intelligencea.
Zlonamjerni akteri vjerojatno su ga odabrali jer može zaobići mehanizme dizajnirane da zaštite korisnike od zlonamjernog softvera, kao što su Microsoft Defender SmartScreen i ugrađena upozorenja preglednika za preuzimanja formata izvršnih datoteka, ističu iz Microsofta.
Stoga su u Microsoftu tu značajku privremeno onemogućili, što za korisnike znači da se aplikacije neće instalirati izravno s poslužitelja na uređaj, već će korisnici prvo morati preuzeti softverski paket, a zatim pokrenuti App Installer.
Microsoft je ove zlonamjerne aktivnosti pripisao grupama koje prati kao Storm-0569, Storm-1113, Storm-1674 i Sangria Tempest. Oznaka "Storm" odnosi se na grupu čije je podrijetlo nepoznato tvrtki. Sangria Tempest, dobro je poznata skupina kibernetičkh kriminalaca i povezana je s ransomware grupama kao što je Clop .
Grupe su u studenom i prosincu otkrile da su "namamile korisnike da instaliraju zlonamjerne MSIX pakete predstavljajući se kao legitimne aplikacije i izbjegavale otkrivanje početnih instalacijskih datoteka".
Kibernetički kriminalci namjeravali su instalirati zlonamjerni softver za učitavanje koji je omogućio daljnje infekcije, uključujući uobičajene alate za eksfiltraciju podataka kao što je IcedID ili ransomware kao što je Black Basta, ističu iz Microsofta.
