Ключови изводи
- Злонамерен инструмент прокара зловреден софтуер под прикритието на опростяване на инсталирането на приложения за Android в Windows.
- Инструментът работи, както беше рекламирано, така че не повдигна никакви червени знамена.
-
Експертите препоръчват на хората да боравят с изключително внимание всеки софтуер, изтеглен от сайтове на трети страни.
Само защото кодът на софтуера с отворен код е достъпен за всеки да види, това не означава, че всеки го разглежда.
Възползвайки се от това, хакерите кооптираха скрипт на Windows 11 ToolBox на трета страна, за да разпространяват зловреден софтуер. На пръв поглед приложението работи както се рекламира и помага за добавянето на Google Play Store към Windows 11. Въпреки това, зад кулисите, то също зарази компютрите, на които работи, с всякакъв вид зловреден софтуер.
"Ако има някакъв съвет, който може да се вземе от това, той е, че захващането на код за изключване от интернет изисква допълнителна проверка", каза Джон Хамънд, старши изследовател по сигурността в Huntress, пред Lifewire по имейл.
Грабеж през деня
Една от най-очакваните функции на Windows 11 беше способността му да стартира приложения за Android директно от Windows. Въпреки това, когато функцията най-накрая беше пусната, хората бяха ограничени до инсталирането на няколко избрани приложения от Amazon App Store, а не от Google Play Store, както хората се надяваха.
Имаше известна почивка, тъй като подсистемата на Windows за Android позволи на хората да зареждат приложения отстрани с помощта на Android Debug Bridge (adb), като по същество позволява инсталирането на всяко приложение за Android в Windows 11.
Приложенията скоро започнаха да се появяват в GitHub, като подсистемата на Windows за Android Toolbox, която опростява инсталирането на всяко приложение за Android в Windows 11. Едно такова приложение, наречено Powershell Windows Toolbox, също предлага възможността заедно с няколко други опции, например, за да премахнете раздуването от инсталация на Windows 11, да я ощипвате за производителност и др.
Въпреки това, докато приложението работеше, както беше рекламирано, скриптът тайно изпълняваше поредица от замъглени злонамерени скриптове на PowerShell за инсталиране на троянски кон и друг зловреден софтуер.
Ако има някакъв съвет, който може да се вземе от това, той е, че захващането на код за изтичане от интернет изисква допълнителна проверка.
Кодът на скрипта беше с отворен код, но преди някой да си направи труда да погледне кода му, за да забележи объркания код, който изтегля злонамерения софтуер, скриптът има стотици изтегляния. Но тъй като скриптът работеше както се рекламира, никой не забеляза, че нещо не е наред.
Използвайки примера на кампанията SolarWinds от 2020 г., която зарази множество правителствени агенции, Гарет Граджек, главен изпълнителен директор на YouAttest, изрази мнение, че хакерите са измислили, че най-добрият начин да вкараме зловреден софтуер в нашите компютри е да ни накарат да го инсталираме сами.
"Независимо дали чрез закупени продукти като SolarWinds или чрез отворен код, ако хакерите успеят да вкарат своя код в "легитимен" софтуер, те могат да спестят усилията и разходите за използване на zero-day хакове и търсене на уязвимости," Grajek каза на Lifewire по имейл.
Насър Фатах, председател на Управителния комитет за Северна Америка в Shared Assessments, добави, че в случая с Powershell Windows Toolbox троянският злонамерен софтуер изпълни обещанието си, но имаше скрита цена.
"Добрият троянски злонамерен софтуер е този, който предоставя всички възможности и функции, които рекламира, че прави… плюс още (зловреден софтуер)," каза Фаттах на Lifewire по имейл.
Fattah също посочи, че използването на Powershell скрипт в проекта е първият знак, който го е изплашил.„Трябва да бъдем много внимателни при стартирането на Powershell скриптове от интернет. Хакерите използват и ще продължат да използват Powershell за разпространение на злонамерен софтуер“, предупреди Фатах.
Хамънд се съгласява. Преглеждайки документацията на проекта, който сега е преместен офлайн от GitHub, предложението за стартиране на команден интерфейс с администраторски привилегии и изпълнение на ред код, който извлича и изпълнява код от Интернет, е това, което задейства предупредителните звънци за него.
Споделена отговорност
Дейвид Къндиф, главен служител по информационна сигурност в Cyvatar, вярва, че има няколко урока, които хората могат да научат от този нормално изглеждащ софтуер със злонамерени вътрешности.
"Сигурността е споделена отговорност, както е описано в собствения подход за сигурност на GitHub", посочи Кундиф. „Това означава, че никой обект не трябва да разчита изцяло на една точка на повреда във веригата.“
Освен това той посъветва всеки, който изтегля код от GitHub, да държи очите си отворени за предупредителни знаци, добавяйки, че ситуацията ще се повтори, ако хората работят при предположението, че всичко ще е наред, тъй като софтуерът се хоства на доверена и реномирана платформа.
„Въпреки че Github е уважавана платформа за споделяне на код, потребителите могат да споделят всякакви инструменти за сигурност както за добро, така и за зло“, съгласи се Хамънд.
