Компания Microsoft сообщила, что отключила обработчик протокола установки приложений Windows после того, как несколько финансово мотивированных хакеров использовали его для заражения машин Windows вредоносным ПО.
Компания объяснила, как киберпреступники распространяли вредоносное ПО с середины ноября 2023 года. Сотрудники Microsoft также заявили, что уязвимость могла быть использована для распространения вымогательского ПО, причем пакеты доставлялись с помощью веб-сайтов, доступных через вредоносную рекламу легитимного популярного программного обеспечения (ПО).
В Microsoft утверждают, что злоумышленники использовали уязвимость для обхода мер безопасности, которые в противном случае защищали бы пользователей Windows от вредоносного ПО. К ним относятся компоненты Defender SmartScreen для защиты от фишинга и вредоносного ПО, а также встроенные предупреждения браузера, предостерегающие пользователей от загрузки исполняемых файлов.
В начале декабря 2023 года Microsoft заметила хакерскую группу, распространявшую поддельное ПО, такое как Zoom, Tableau, TeamViewer и AnyDesk, с помощью метода, называемого отравлением поисковой оптимизации (SEO). По сути метод подделывает легитимные загрузки ПО и выводят нелегальные ПО на более высокие уровни в поисковой системе. Эти варианты предлагались пользователям, которые искали легитимное программное обеспечение в Bing или Google. Подделка или выдача себя за другого - популярная тактика социальной инженерии, направленная на пользователей.
Пользователям, перешедшим по ссылкам этих самозванных приложений, предлагался настольный App Installer. Если пользователь нажимает кнопку «Установить» в настольном App Installer, вредоносное приложение устанавливается и запускает дополнительные процессы и скрипты, которые приводят к установке вредоносного ПО.
Хотя на 29 декабря 2023 года Microsoft уже отключила использовавшийся протокол, пользователи должны всегда быть бдительными в отношении платформы, предлагающей ПО для загрузки. Также необходимо следить за URL-адресом и проверять наличие орфографических ошибок в программном обеспечении. Всегда загружайте программное обеспечение с официальных сайтов и не путайте «Microsoft» с «Miccrosoft».