مایکروسافت یکی از ابزارهای نرم افزاری خود را در پی حملات متعدد بدافزار غیرفعال می کند


Warning: sprintf(): Too few arguments in /home/bia2host/public_html/blog/wp-content/themes/the-authority/inc/template-tags.php on line 28
Bia2 Host
مایکروسافت یکی از ابزارهای نرم افزاری خود را در پی حملات متعدد بدافزار غیرفعال می کند

مایکروسافت پس از یافتن شواهد جدیدی مبنی بر استفاده هکرها از آن برای استقرار، کنترل کننده پروتکل ms-appinstaller را به عنوان پیش فرض غیرفعال کرد. بد افزار.

مایکروسافت در گزارشی جدید گفت: «فعالیت عامل تهدید مشاهده‌شده از اجرای فعلی کنترل‌کننده پروتکل ms-appinstaller به‌عنوان یک بردار دسترسی برای بدافزار که ممکن است منجر به توزیع باج‌افزار شود، سوء استفاده می‌کند. مشاوره امنیتی.

علاوه بر این، غول ردموند شاهد فروش کیت‌های بدافزار در وب تاریک بود که از فرمت فایل MSIX و کنترل‌کننده پروتکل ms-appinstaller استفاده می‌کردند.

چهار بازیگر تهدید

ظاهرا، عوامل تهدید در حال ایجاد تبلیغات جعلی مخرب برای نرم افزارهای قانونی و محبوب هستند تا قربانیان را به وب سایت های تحت کنترل خود هدایت کنند. در آنجا آنها را فریب می دهند تا بدافزار را دانلود کنند. این شرکت گفت که دومین عامل توزیع فیشینگ از طریق تیم های مایکروسافت است.

در این توصیه نامه آمده است: “عملگران تهدید احتمالا بردار کنترل کننده پروتکل ms-appinstaller را انتخاب کرده اند، زیرا می تواند مکانیسم هایی را که برای کمک به محافظت از کاربران در برابر بدافزارها طراحی شده اند، دور بزند، مانند Microsoft Defender SmartScreen و هشدارهای داخلی مرورگر برای دانلود فرمت های فایل های اجرایی.”

مایکروسافت بیشتر توضیح داد که از اواسط نوامبر سال جاری، حداقل چهار عامل تهدید از سرویس App Installer سوء استفاده کرده اند، از جمله Storm-0569، Storm-1113، Sangria Tempest (AKA FIN7)، و Storm-1674. اولی یک واسطه دسترسی است که معمولا دسترسی به Storm-0506 را قطع می کند، که سپس باج افزار Black Basta را مستقر می کند. FIN7، که محققان در اوایل این هفته جعل هویت نرم‌افزار بانکی را نیز مشاهده کردند، از سرویس App Installer برای حذف Gracewire استفاده کرد، در حالی که Storm-1674 از طریق پیام‌های Teams به عنوان Microsoft OneDrive و SharePoint ظاهر می‌شود.

کنترل کننده در App Installer نسخه ۱٫۲۱٫۳۴۲۱٫۰ یا بالاتر غیرفعال است.

این اولین بار نیست که فایل‌های بسته برنامه ویندوز MSIX در توزیع بدافزار مورد سوء استفاده قرار می‌گیرند. TheHackerNews می گوید. در اکتبر ۲۰۲۳، Elastic Security Labs چنین فایل‌هایی را برای Google Chrome، Microsoft Edge، Brave، Grammarly و Cisco Webex یافت که برای توزیع یک بارکننده بدافزار به نام GHOSTPULSE استفاده می‌شد. علاوه بر این، مایکروسافت قبلاً یک بار در فوریه سال گذشته این کنترلر را غیرفعال کرده بود.

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/microsoft-disables-one-of-its-own-software-tools-following-multiple-malware-attacks

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *