Microsoft предприняла решительные действия, снова отключив обработчик протокола MSIX после обнаружения его использования финансово мотивированными группами угроз. Этот шаг направлен на защиту пользователей Windows от целого ряда вредоносных программ, включая программы-вымогатели.
Злоумышленники использовали уязвимость CVE-2021−43 890, которая позволяет обойти такие меры безопасности, как Defender SmartScreen и предупреждения браузера, и незаметно установить вредоносное ПО.
Вредоносная реклама, мимикрирующая под популярное ПО, а также фишинговые сообщения в Microsoft Teams используются для распространения подписанных пакетов вредоносных MSIX-приложений. Этот метод активно используют такие группировки, как Storm-0569, Storm-1113, Sangria Tempest и Storm-1674.
Обработчик протокола был отключен по умолчанию 28 декабря 2023 года. Пользователям настоятельно рекомендуется обновить систему. В качестве временной меры администраторы могут отключить протокол с помощью групповой политики.