Злоумышленники использовали уязвимость CVE-2021−43 890, которая позволяет обойти такие меры безопасности, как Defender SmartScreen и предупреждения браузера, и незаметно установить вредоносное ПО.
Вредоносная реклама, мимикрирующая под популярное ПО, а также фишинговые сообщения в Microsoft Teams используются для распространения подписанных пакетов вредоносных MSIX-приложений. Этот метод активно используют такие группировки, как Storm-0569, Storm-1113, Sangria Tempest и Storm-1674.
Обработчик протокола был отключен по умолчанию 28 декабря 2023 года. Пользователям настоятельно рекомендуется обновить систему. В качестве временной меры администраторы могут отключить протокол с помощью групповой политики.
