Microsoft desativa Windows App Installer após abusos de cibercriminosos para entregar malware

A Microsoft desativou a funcionalidade do App Installer que permite a instalação de aplicações do Windows 10 diretamente através de uma página da web ao clicar num link que utilizasse o esquema URI ms-appinstaller. A decisão da empresa surge na sequência do abuso desta funcionalidade por parte de diversos cibercriminosos para implantar ransomware ou malware nos últimos meses.

“Os atores de ameaças provavelmente escolheram o vetor manipulador de protocolo ms-appinstaller porque este pode contornar mecanismos projetados para ajudar a manter os utilizadores protegidos contra malware, como o Microsoft Defender SmartScreen e avisos integrados do navegador para downloads de formatos de arquivo executáveis”, afirmou a Microsoft num comunicado.

O manipulador de protocolo foi desativado em 28 de dezembro com o lançamento do App Installer versão 1.21.3421.0, após a empresa ter alertado sobre a vulnerabilidade de falsificação do Windows AppX Installer (CVE-2021-43890).

Já há algum tempo que os cibercriminosos estão a utilizar o esquema de URI ms-appinstaller para conduzir os utilizadores a páginas da web falsificadas de software conhecidos, entregando malware empacotado como MSIX. De acordo com a Microsoft, vários grupos maliciosos adotaram esta técnica, culminando num aumento dos ciberataques durante os meses de novembro e dezembro de 2023.

No início de dezembro, um grupo de brokers (corretores) de acesso que a Microsoft rastreia como Storm-0569 lançou uma campanha de otimização de mecanismos de pesquisa que distribuiu BATLOADER com recurso a esta técnica. Os cibercriminosos conseguiram infetar os resultados da pesquisa com links para páginas da web falsas, fazendo-se passar por sites oficiais de aplicações de software como o Zoom, Tableau, TeamViewer e AnyDesk.

“Os utilizadores que procuram uma aplicação de software legítimo no Bing ou no Google podem receber uma página de destino que falsifica as páginas de destino do fornecedor de software original, que inclui links para instaladores maliciosos através do protocolo ms-appinstaller”, explicou a Microsoft. “Falsificar e personificar software legítimo popular é uma tática comum de engenharia social”.

Clicar nestes links não autorizados abre uma janela do App Installer, que exibe um botão de instalação. Se os utilizadores clicaram neste botão, o pacote MSIX malicioso será instalado junto com o PowerShell adicional e scripts em lote que implantam o BATLOADER. Posteriormente, este carregador de malware é utilizado para instalar implantes maliciosos adicionais, como o Cobalt Strike Beacon, a ferramenta de exfiltração de dados Rclone e o ransomware Black Basta.

O broker de acesso seguido como Storm-1113, especializado na distribuição de malware através anúncios de pesquisa, recorreu a esta técnica durante o mês de novembro para implementar o EugenLoader, um carregador de malware, falsificando downloads do Zoom. 

“Noutros casos, o Sangria Tempest usa anúncios do Google para induzir os utilizadores a fazer download de pacotes maliciosos de aplicações MSIX – possivelmente contando com a infraestrutura Storm-1113 – levando à entrega do POWERTRASH, um script PowerShell altamente ofuscado”, acrescentaram os investigadores da Microsoft.

Também o grupo rastreado como Storm-1674 utilizou a mesma técnica para implantar SectopRAT ou DarkGate, distribuindo links para páginas de destino falsificadas através de mensagens no Teams. As páginas iniciais falsificavam serviços da Microsoft como OneDrive e SharePoint, solicitando aos utilizadores para fazer download do Adobe Acrobat Reader ou outras ferramentas para aceder aos ficheiros que lá estariam supostamente listados.

Todos os ficheiros MSIX maliciosos entregues através destes sites são assinados digitalmente para evitar avisos de segurança. Com a desativação do manipulador de protocolo ms-appinstaller por padrão, a Microsoft força o download destes ficheiros primeiro no disco antes da sua execução, o que permite que os produtos de segurança de endpoint tenham oportunidade de os verificar e sinalizar.