Von Malware mißbraucht: Microsoft deaktiviert App-Installationen per Website
Über ein spezielles URL-Schema konnten legitime, aber auch bösartige Websites App-Installationen unter Windows auslösen. Kriminelle nutzten das für ihre Zwecke.
(Bild: heise online)
Seit vergangenem Dezember verteilen Cyberkriminelle Malware mit gefälschten Downloadseiten für beliebte Windows-Software wie Zoom, Tableau oder TeamViewer. Ihre Opfer locken die Missetäter mittels Suchmaschinen-Spam an und schieben ihnen verseuchte Installationspakete unter. Dabei machen die Angreifer sich ein Windows-Feature zunutze, das die Bequemlichkeit erhöhen und Software-Installationen ohne Umwege ermöglichen sollte.
Mittels des URL-Schemas "ms-appinstaller:?source=http://example.com/installation.msix" konnten Webseitenbetreiber eine Direktinstallation von Windows-Software ohne Umweg über den Download-Ordner auslösen. Das (minimale) Plus an Bequemlichkeit bezahlten Nutzer aber – wie so oft – mit einem zusätzlichen Einfallstor für Malware.
Eine Bande von "finanziell motivierten Akteuren" – so Microsoft in einer Analyse des Falls – begann Anfang Dezember, Suchmaschinenergebnisse für populäre Programme wie TeamViewer, AnyDesk oder Zoom zu manipulieren und eigene Downloadseiten in der Ergebnisliste nach vorn zu schieben. Zusätzlich verteilten die Angreifer Links zu gefälschten OneDrive- und SharePoint-Seiten über Teams-Nachrichten.
(Bild: heise online)
Klickten neugierige Besucher einen Download-Link, so schoben die Malware-Banden ihnen einen Windows-Installer unter, der sich als die gewünschte Applikation – im Fall der Teams-Masche eine aktuelle Acrobat-Reader-Version – tarnte und über eine gültige digitale Signatur verfügte. Stutzig machen sollte jedoch der Herausgeber: Warum ein Adobe-Programm von der Firma "Diamondz Consulting Limited" herausgegeben wird, ist nur schwer erklärbar. Dank des ms-appinstaller-Tricks konnten die Schadsoftware-Autoren viele der Windows-eigenen Sicherheitsmechanismen umgehen und so ihre Chancen erhöhen, den Computer ihres Opfers zu infiltrieren. Ließ sich der Nutzer auf die Installation ein, so landete eine Backdoor auf dem System.
Microsoft hat als Reaktion auf diesen Angriff das URL-Schema "ms-appinstaller" komplett deaktiviert. Webseitenbetreiber, sind auf einer entsprechenden Hilfeseite aufgerufen, ihre Download-Links anzupassen; Nutzer erhalten eine Warnmeldung beim Klick auf einen deaktivierten Link.
(Bild: heise online)
Mindestens eine der inkriminierten Landeseiten – eine gefälschte OneDrive-Seite mit angeblichen Informationen für Bewerber – ist noch immer online und versteckt ihre wahre Herkunft hinter dem CDN Cloudflare. Wer sich mit Microsoft Edge auf die Phishing-Seite verirrt, wird jedoch vor möglicher Malware gewarnt; die gefährlichen Installationspakete herunterzuladen, ist ebenfalls nicht mehr möglich.
Microsoft hat immer wieder mit Sicherheitsproblemen rund um Web-Downloads und Installationspakete zu kämpfen. So hatten die Redmonder vergangenen März eine Lücke geflickt, die das "Mark of the Web" bei MSI-Installationspaketen unterschlug – der Mechanismus zur Erkennung aus dem Web stammender Dateien war auch im November 2022 unter Beschuss geraten.
(cku)
