Microsoft hat gesagt, dass es Windows deaktiviert hat App-Installer-Protokollhandler nach mehreren finanziell motivierten Hacker missbrauchte es, um Windows-Rechner damit zu infizieren Schadsoftware. Das Unternehmen hat erklärt, wie Cyberkriminelle seit Mitte November 2023 Schadsoftware verbreiteten.
Microsoft gab außerdem an, dass die Schwachstelle zur Verbreitung von Ransomware mit Paketen ausgenutzt werden könnte, die über Websites bereitgestellt werden, auf die über böswillige Werbung für legitime, beliebte Software zugegriffen wird.
„Seit Mitte November 2023 beobachtet Microsoft Threat Intelligence Bedrohungsakteure, darunter finanziell motivierte Akteure wie Storm-0569, Storm-1113, Sangria Tempest und Storm-1674, die das ms-appinstaller-URI-Schema (App Installer) zur Verbreitung von Malware nutzen “, sagte das Unternehmen.
Wie Angreifer den Fehler gezielt angegriffen haben
Laut Microsoft haben die Angreifer die Sicherheitslücke ausgenutzt, um Sicherheitsmaßnahmen zu umgehen, die ansonsten Schutz bieten würden Windows-Benutzer vor Schadsoftware. Dazu gehören Defender SmartScreen-Anti-Phishing- und Anti-Malware-Komponenten sowie integrierte Browserwarnungen, die Benutzer vor dem Herunterladen ausführbarer Dateien warnen.
Anfang Dezember 2023 beobachtete Microsoft, dass eine Hackergruppe gefälschte Software wie Zoom, Tableau, TeamViewer und AnyDesk durch eine Methode namens Search Engine Optimization (SEO) Poisoning verbreitete, bei der es sich im Wesentlichen um die Täuschung legitimer Software-Downloads handelt.
Diese Optionen wurden Benutzern angezeigt, die auf Bing oder Google nach einer legitimen Softwareanwendung suchten. Spoofing oder Identitätswechsel sind eine beliebte Social-Engineering-Taktik, um gezielt auf Benutzer abzuzielen.
Benutzern, die auf die Links dieser gefälschten Apps klicken, wurde das Desktop-App-Installer-Erlebnis angezeigt. Wenn der Benutzer im Desktop-App-Installer auf „Installieren“ klickt, wird die Schadanwendung installiert und führt schließlich zusätzliche Prozesse und Skripts aus, die zur Installation von Schadsoftware führen.
So schützen Sie sich
Während Microsoft das ausgenutzte Protokoll bereits deaktiviert hat, müssen Benutzer stets auf der Plattform, die die Software zum Herunterladen anbietet, wachsam sein. Man muss auch die URL im Auge behalten und die Software auf Rechtschreibfehler prüfen. Laden Sie Software immer von offiziellen Websites herunter.
Microsoft gab außerdem an, dass die Schwachstelle zur Verbreitung von Ransomware mit Paketen ausgenutzt werden könnte, die über Websites bereitgestellt werden, auf die über böswillige Werbung für legitime, beliebte Software zugegriffen wird.
„Seit Mitte November 2023 beobachtet Microsoft Threat Intelligence Bedrohungsakteure, darunter finanziell motivierte Akteure wie Storm-0569, Storm-1113, Sangria Tempest und Storm-1674, die das ms-appinstaller-URI-Schema (App Installer) zur Verbreitung von Malware nutzen “, sagte das Unternehmen.
Wie Angreifer den Fehler gezielt angegriffen haben
Laut Microsoft haben die Angreifer die Sicherheitslücke ausgenutzt, um Sicherheitsmaßnahmen zu umgehen, die ansonsten Schutz bieten würden Windows-Benutzer vor Schadsoftware. Dazu gehören Defender SmartScreen-Anti-Phishing- und Anti-Malware-Komponenten sowie integrierte Browserwarnungen, die Benutzer vor dem Herunterladen ausführbarer Dateien warnen.
Anfang Dezember 2023 beobachtete Microsoft, dass eine Hackergruppe gefälschte Software wie Zoom, Tableau, TeamViewer und AnyDesk durch eine Methode namens Search Engine Optimization (SEO) Poisoning verbreitete, bei der es sich im Wesentlichen um die Täuschung legitimer Software-Downloads handelt.
Diese Optionen wurden Benutzern angezeigt, die auf Bing oder Google nach einer legitimen Softwareanwendung suchten. Spoofing oder Identitätswechsel sind eine beliebte Social-Engineering-Taktik, um gezielt auf Benutzer abzuzielen.
Benutzern, die auf die Links dieser gefälschten Apps klicken, wurde das Desktop-App-Installer-Erlebnis angezeigt. Wenn der Benutzer im Desktop-App-Installer auf „Installieren“ klickt, wird die Schadanwendung installiert und führt schließlich zusätzliche Prozesse und Skripts aus, die zur Installation von Schadsoftware führen.
So schützen Sie sich
Während Microsoft das ausgenutzte Protokoll bereits deaktiviert hat, müssen Benutzer stets auf der Plattform, die die Software zum Herunterladen anbietet, wachsam sein. Man muss auch die URL im Auge behalten und die Software auf Rechtschreibfehler prüfen. Laden Sie Software immer von offiziellen Websites herunter.