مايكروسوفت تعطل تطبيقات ضارة تستغل ثغرة أمنية لترقية برامج الفدية. أعلنت شركة مايكروسوفت عن تعطيل مؤقت لطريقتها المعتادة لتثبيت التطبيقات (ms-appinstaller protocol handler) بسبب استغلال قراصنة لها لنشر برامج الفدية الخبيثة. وقالت شركة مايكروسوفت عبر فريق استخباراتها الأمنية: “يستغل مجرمو الإنترنت طريقة التثبيت الحالية كبوابة لنشر برامج ضارة يمكن أن تؤدي إلى انتشار برامج الفدية.”
وأضافت الشركة أن بعض قراصنة الإنترنت يبيعون حزمة أدوات برمجية ضارة كخدمة تستخدم تنسيق ملفات MSIX وطريقة التثبيت المذكورة. يطبق هذا التغيير ابتداءً من إصدار مثبت التطبيقات 1.21.3421.0 أو أعلى.
تأتي الهجمات في شكل حزم تطبيقات مضللة وموقعة رقمياً يتم توزيعها من خلال برامج مثل Microsoft Teams أو إعلانات ضارة مقنعة للبرامج الشرعية على محركات البحث مثل Google.
ومن أبرز المجموعات الإجرامية التي استغلت طريقة التثبيت منذ منتصف نوفمبر 2023:
- Storm-0569: استخدم البرامج الضارة لتوزيع كوبرالت سترايك ومن ثم تسليمها لمجموعة أخرى لنشر برنامج الفدية Black Basta.
- Storm-1113: استخدمت مثبتات تطبيقات ضارة مقنعة لتوزيع برنامج ضار يعمل كمرسل لأحصنة طروادة وكاشفات سرقات المعلومات.
- Sangria Tempest: استخدمت برامج ضارة تم الحصول عليها من Storm-1113 لنشر برنامجي كارباناك وجريسواير. كما استخدمت إعلانات Google لتوزيع برنامج POWERTRASH الذي يحمل برامج تحكم عن بعد ضارة.
- Storm-1674: أرسلت صفحات هبوط مقنعة لتطبيق OneDrive وشيربوينت تحتوي على برامج ضارة (SectopRAT أو DarkGate) تتضمن برامج تحكم عن بعد.
- وأشارت مايكروسوفت إلى أن Storm-1113 توفر أدوات لتثبيت التطبيقات الضارة وصفحات هبوط مقلدة لمجموعات أخرى.
وفي أكتوبر 2023. كشفت مختبر أمن Elastic عن حملة أخرى استخدمت حزم تطبيقات Windows مزيفة لبرامج معروفة لنشر برنامج ضار (GHOSTPULSE).
هذه ليست المرة الأولى التي تعطل فيها مايكروسوفت طريقة التثبيت هذه. حيث سبق وأن اتخذت نفس الإجراء في فبراير 2022 لمنع انتشار برامج ضارة أخرى.
وأوضحت مايكروسوفت سبب استغلال القراصنة لهذه الطريقة: “يختار مجرمو الإنترنت طريقة التثبيت المذكورة لأنها تتجاوز آليات الأمان مثل فحص ذكي ودفاع الحواسيب من مايكروسوفت وتحذيرات المتصفحات من تنزيل برامج ضارة.”
مايكروسوفت تعطل تطبيقات ضارة تستغل ثغرة أمنية لترقية برامج الفدية. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.