Microsoft, web sitesi aracılığıyla uygulama yüklemelerini devre dışı bırakır

Geçtiğimiz Aralık ayından bu yana siber suçlular, Zoom, Tableau ve TeamViewer gibi popüler Windows yazılımları için sahte indirme sayfalarıyla kötü amaçlı yazılım dağıtıyor. Kurbanları, arama motoru spam’ını kullanarak suçluları cezbediyor ve virüslü kurulum paketlerini onlara gönderiyor. Saldırganlar, rahatlığı artırması ve yazılım yüklemelerine izin vermesi beklenen bir Windows özelliğinden yararlanıyor.

Duyuru

URL şemasını kullanma “ms-appinstaller:?source=http://example.com/installation.msix“, web sitesi operatörleri, indirme klasörüne gitmeden Windows yazılımının doğrudan kurulumunu başlatabildiler. Ancak, çoğu zaman olduğu gibi, kullanıcılar (minimum) ek kolaylık için ek bir kötü amaçlı yazılım ağ geçidi ile ödeme yaptı.

Microsoft’un vakaya ilişkin bir analizine göre, Aralık ayının başında bir grup “mali motivasyona sahip aktör”, TeamViewer, AnyDesk veya Zoom gibi popüler programlar için arama motoru sonuçlarını manipüle etmeye ve kendi indirme sayfalarını listenin en üstüne eklemeye başladı. sonuçlar listesi. Saldırganlar ayrıca Teams mesajları aracılığıyla sahte OneDrive ve SharePoint sayfalarına bağlantılar dağıttı.

Saldırganlar, kurbanlara kötü amaçlı yazılım bulaştırmak için eski Acrobat sürümleriyle ilgili sahte uyarılar kullanıyor

(Resim: Haberler Çevrimiçi)

Meraklı ziyaretçiler bir indirme bağlantısını tıkladığında, kötü amaçlı yazılım grupları onlara istenen uygulama gibi görünen (Teams dolandırıcılığı durumunda Acrobat Reader’ın güncel bir sürümü olan) ve geçerli bir dijital imzaya sahip olan bir Windows yükleyici sağlıyordu. Ancak yayıncının dikkatli olması gerekir: Bir Adobe programının neden “Diamondz Consulting Limited” şirketi tarafından yayınlandığını açıklamak zordur. Ms-appinstaller hilesi sayesinde, kötü amaçlı yazılım yazarları Windows güvenlik mekanizmalarının çoğunu atlamayı başardılar ve böylece kurbanın bilgisayarına sızma şansını artırdılar. Kullanıcı kurulumu kabul ederse sistemde bir arka kapı ortaya çıkıyor.

Bu saldırıya yanıt olarak Microsoft, “ms-appinstaller” URL şemasını tamamen devre dışı bıraktı. Web sitesi operatörlerine indirme bağlantılarını ilgili yardım sayfasına uyarlamaları tavsiye edilir; Kullanıcılar devre dışı bırakılan bir bağlantıya tıkladıklarında bir uyarı mesajı alırlar.

Ekran görüntüsü ms-appinstall protokolü devre dışı bırakıldı

Ekran görüntüsü ms-appinstall protokolü devre dışı bırakıldı

Windows’un mevcut sürümlerinde ms-appinstall-URl aracılığıyla doğrudan kurulum artık mümkün değildir.

(Resim: Haberler Çevrimiçi)

Aday bilgileri sağladığı iddia edilen sahte OneDrive sayfası olan rahatsız edici açılış sayfalarından en az biri hâlâ çevrimiçi ve gerçek kökenlerini Cloudflare CDN’nin arkasında saklıyor. Ancak Microsoft Edge ile kimlik avı sitesine giren herkes olası kötü amaçlı yazılımlara karşı uyarılacaktır; Ayrıca tehlikeli kurulum paketlerini indirmek artık mümkün değildir.

Microsoft, web indirmeleri ve kurulum paketleriyle ilgili güvenlik sorunlarıyla defalarca mücadele etti. Geçen Mart ayında Redmond şirketi, MSI kurulum paketlerinde “Web İşareti”ni gizleyen bir boşluğu çözdü: Kasım 2022’de web’deki dosyaları tanıma mekanizması da saldırıya uğradı.


(cku)

Haberin Sonu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir