File MSIX: bloccati in Windows perché sfruttati per diffondere il malware Emotet

Il malware Emotet è una delle minacce più diffuse, aggressive e persistenti dell’ultimo decennio. Dal momento che Emotet si diffonde primariamente via email utilizzando tecniche di ingegneria sociale e quindi messaggi fasulli, in un altro articolo abbiamo anche spiegato come verificare se i propri indirizzi di posta elettronica siano utilizzati per attaccare agli utenti.

Originariamente Emotet era un trojan bancario ovvero un malware sviluppato per sottrarre le credenziali d’accesso a conti correnti online e servizi di online banking. I malware writer che curano lo sviluppo di Emotet hanno poi trasformato la minaccia in un componente malevolo in grado anche di spiare dispositivi altrui, facilitare attività di spionaggio industriale e sottrarre dati sensibili e informazioni riservate.

Da dicembre 2021 Emotet ha avviato una nuova violenta campagna presentando come software Adobe per la gestione di documenti PDF e utilizzando il formato MSIX (Windows AppX Installer).

Dal momento che sia Windows 10 che Windows 11 supportano l’URI ms-appinstaller, gli autori di Emotet hanno sfruttato questa caratteristica per consentire il download e l’installazione del malware direttamente dalle pagine Web.

Per arginare gli attacchi Microsoft ha deciso di bloccare l’URI ms-appinstaller in Windows dopo che in passato aveva indicato come disabilitarlo in modo manuale.
Per il momento, fintanto che i tecnici dell’azienda di Redmond non troveranno una modalità più efficace per impedire nuove aggressioni, l’installazione dei pacchetti MSIX da Web non funzionerà più e gli utenti potranno al massimo scaricare un file quindi installarlo dal sistema locale.

“Riconosciamo che questa funzione (l’installazione da Web dei pacchetti MSIX) è fondamentale per molte aziende. Ci stiamo prendendo il tempo per condurre test approfonditi al fine di garantire che la riattivazione del protocollo possa essere fatta in modo sicuro. Stiamo cercando di introdurre un criterio di gruppo che permetta agli amministratori IT di riabilitare il protocollo e controllarne l’uso all’interno delle loro organizzazioni“, si legge nella nota pubblicata da Microsoft.