微软禁用恶意软件传播工具

关键要点

多个威胁行动组利用微软的“msappinstaller协议”进行恶意软件传播。新禁用的协议加速了Windows应用程序的安装过程。相关研究指出，攻击者通过伪装合法应用程序传播恶意MSIX包。Sangria Tempest等组织利用此协议部署了各种恶意软件。

根据网络安全公司Recorded Future旗下新闻网站The Record的报道，包括Sangria Tempest和FIN7、Storm0569、Storm1674以及Storm1113等多个威胁行动组，已经利用微软的“msappinstaller协议”来加速Windows应用程序的安装，从而促进恶意软件的传播。这一行为促使微软禁用了该协议。

在11月和12月发起的攻击中，有关报告显示，攻击者通过伪造合法应用程序，传播了恶意的MSIX包，这些包会安装加载器恶意软件及其他有效载荷，例如Black Basta和IcedID。微软威胁情报团队的研究表明，Sangria Tempest利用该协议部署了Carbanak恶意软件，而Storm0569则利用这一漏洞传播BATLOADER及其他后续攻击载荷。

“威胁行为者可能选择msappinstaller协议处理程序向量，因为它可以绕过为保护用户免受恶意软件侵害而设计的机制，例如微软Defender SmartScreen以及浏览器对可执行文件格式下载的内置警告，”微软表示。

总结： 微软禁用了msappinstaller协议，以遏制通过该协议传播恶意软件的威胁行为。这一措施旨在保护用户不受持续的网络攻击影响，同时强调了确保网络安全的重要性。

https://一元机场.com