A Microsoft anunciou que está desativando novamente o manipulador de protocolo ms-appinstaller por padrão, após seu abuso por vários atores de ameaças para distribuir malware.

“A atividade observada dos atores de ameaças abusa da implementação atual do manipulador de protocolo ms-appinstaller como um vetor de acesso para malware que pode levar à distribuição de ransomware”, disse a equipe de Inteligência de Ameaças da Microsoft.

A empresa observou ainda que vários criminosos cibernéticos estão oferecendo um kit de malware para venda como serviço que explora o formato de arquivo MSIX e o manipulador de protocolo ms-appinstaller.

As mudanças entraram em vigor na versão 1.21.3421.0 ou superior do App Installer. Os ataques assumem a forma de pacotes de aplicativos MSIX maliciosos assinados que são distribuídos via Microsoft Teams ou anúncios maliciosos para softwares populares legítimos em motores de busca como o Google.

Pelo menos quatro grupos de cibercriminosos com motivações financeiras foram observados tirando vantagem do serviço App Installer desde meados de novembro de 2023, usando-o como um ponto de entrada para atividades subsequentes de ransomware.

Esta não é a primeira vez que a Microsoft desativa o manipulador de protocolo MSIX ms-appinstaller no Windows. Em fevereiro de 2022, a gigante da tecnologia tomou a mesma medida para impedir que atores de ameaças o armassem para entregar Emotet, TrickBot e Bazaloader.