Microsoft, stop all'installazione delle app MSIX: troppi attacchi malware

Nella giornata di ieri Microsoft ha annunciato che disabiliterà il gestore del protocollo ms-appinstaller per impostazione predefinita.

Il motivo di questa scelta sono i sempre più numerosi abusi da parte di cybercriminali, che abusavano di questa funzionalità per diffondere malware. La conferma di tale scelta arriva direttamente dal team di Microsoft Threat Intelligence, che sottolinea come la diffusione massiccia di ransomware ha portato l’azienda a questa decisione così drastica.

D’altro canto, sul Dark Web da tempo sono venduti dei kit malware già preimpostati per sfruttare il formato file MSIX, che sfrutta il protocollo ms-appinstaller per funzionare.

Questi attacchi informatici avvengono attraverso la diffusione di file attraverso vari canali, come Microsoft Teams o i sempre più frequenti casi di malvertising, sfruttando versioni manipolate di software legittimo per veicolare malware e ransomware. Come confermato ufficialmente, il protocollo sarà disabilitato nella versione 1.21.3421.0 e successive.

Protocollo installazione app MSIX: Microsoft lo disabilità per proteggere gli utenti

La mossa di Microsoft non coglie impreparati gli utenti. Negli ultimi mesi, infatti, sono diversi i gruppi di cybercriminali che hanno utilizzato tecniche legate al protocollo per diffondere agenti malevoli online.

Tra le gang possiamo ricordare Storm-0569 (responsabile di attacchi effettuati tramite Cobalt Strike e Black Basta per diffondere ransomware), Sangria Tempest (Carbank, NetSupport RAT e Gracewire), Storm-1674 (SectopRAT e DarkGate).

Va detto che questa non è la prima volta che Microsoft disabilita il gestore del protocollo MSIX ms-appinstaller in Windows. Nel febbraio 2022, il colosso di Redmond è dovuto intervenire in modo simile, per arginare alcuni agenti malevoli dilaganti come Emotet, TrickBot e Bazaloader.

Secondo la comunicazione ufficiale di Microsoft “Gli autori delle minacce hanno probabilmente scelto il vettore del gestore di protocollo ms-appinstaller perché può aggirare i meccanismi progettati per proteggere gli utenti dai malware, come Microsoft Defender SmartScreen e gli avvisi integrati nel browser per i download di formati di file eseguibili“.