Negli ultimi mesi, la divisione di Microsoft che si occupa del monitoraggio delle attività illecite in campo informatico, ha registrato un notevole aumento nell’utilizzo degli installer MSIX per distribuire malware. La società ha così deciso di rilasciare una nuova versione di App Installer, andando a disabilitare il protocollo in questione.

Microsoft disattiva il protocollo MSIX in Windows per aumentare la sicurezza degli utenti

Come anticipato in apertura dunque, il colosso di Redmond ha rilevato un notevole incremento degli attacchi informatici protratti nello specifico da quattro gruppi di cybercriminali, nei quali veniva sfruttato l’installer MSIX per distribuire malware sui computer delle vittime.

Microsoft ha così deciso di rilasciare una patch che va a risolvere la vulnerabilità classificata come CVE-2021-43890, mentre nella nuova versione di App Installer è stato disattivato il protocollo MSIX.

I gruppi hacker individuati sfruttavano falsi siti web, simili in tutto e per tutto a quelli originali, per veicolare i malware: gli utenti credevano di installare applicazioni legittime quali Zoom, TeamViewer e altre procedendo all’installazione del software direttamente dal sito web grazie all’utilizzo dei pacchetti MSIX.

Con la disattivazione del protocollo in questione, gli utenti non potranno più procedere nel modo appena citato, ma dovranno prima scaricare il pacchetto sul proprio computer, dove questo verrà analizzato attraverso le scansioni operate dal browser e dal sistema operativo, come Microsoft Defender SmartScreen, aumentando di conseguenza la sicurezza degli utenti.

Microsoft aumenta la sicurezza di Windows disattivando il protocollo MSIX 1
Microsoft aumenta la sicurezza di Windows disattivando il protocollo MSIX 2
Microsoft aumenta la sicurezza di Windows disattivando il protocollo MSIX 3
Microsoft aumenta la sicurezza di Windows disattivando il protocollo MSIX 4
Microsoft aumenta la sicurezza di Windows disattivando il protocollo MSIX 5

L’azienda in un post sul sito ufficiale ha dettagliato gli attacchi effettuati da quattro gruppi di cybercriminali, in poche parole tutti sfruttavano come già detto siti web fasulli che andavano ad installare diversi malware, come EugenLoader, Gozi, Redline Stealer, IcedID, Smoke Loader, NetSupport Manager, Sectop RAT e Lumma Stealer.

Oltre alla tecnica appena citata, venivano utilizzate false inserzioni pubblicitarie nei motori di ricerca, nonché messaggi tramite Teams con link a siti simili a quelli di OneDrive e SharePoint, tutti con lo scopo di infettare i computer degli utenti con diversi malware.

Potrebbe interessarti anche: L’IA di Microsoft Copilot potrebbe automatizzare così Windows 11