Recomandări cheie
- Un instrument rău intenționat a împins programe malware sub aspectul simplificării instalării aplicațiilor Android în Windows.
- Instrumentul a funcționat așa cum a fost anunțat, așa că nu a ridicat semnale roșii.
-
Experții sugerează ca oamenii să gestioneze orice software descărcat de pe site-uri terță parte cu cea mai mare atenție.
Doar pentru că codul software-ului open source este disponibil pentru oricine, nu înseamnă că toată lumea îl aruncă o privire.
Profitând de acest lucru, hackerii au cooptat un script Windows 11 ToolBox terță parte pentru a distribui programe malware. La suprafață, aplicația funcționează așa cum este anunțat și ajută la adăugarea Magazinului Google Play la Windows 11. Cu toate acestea, în culise, a infectat și computerele pe care rula cu tot felul de malware.
„Dacă există vreun fel de sfat care ar putea fi luat din acest lucru, acesta este că prinderea codului pentru a rula de pe internet necesită un control suplimentar”, a declarat John Hammond, cercetător senior de securitate la Huntress, a declarat pentru Lifewire prin e-mail.
Jaf la lumina zilei
Una dintre cele mai așteptate caracteristici ale Windows 11 a fost capacitatea sa de a rula aplicații Android direct din Windows. Cu toate acestea, când funcția a fost lansată în sfârșit, oamenii au fost restricționați să instaleze o mână de aplicații selectate din Amazon App Store și nu din Magazinul Google Play, așa cum speraseră oamenii.
A existat un oarecare răgaz, deoarece subsistemul Windows pentru Android a permis oamenilor să încarce aplicații cu ajutorul Android Debug Bridge (adb), permițând în esență instalarea oricărei aplicații Android în Windows 11.
Aplicații au început în curând să apară pe GitHub, cum ar fi Windows Subsystem for Android Toolbox, care a simplificat instalarea oricărei aplicații Android în Windows 11. O astfel de aplicație numită Powershell Windows Toolbox a oferit, de asemenea, capacitatea împreună cu alte câteva opțiuni., de exemplu, pentru a elimina balonarea dintr-o instalare Windows 11, ajustați-l pentru performanță și multe altele.
Cu toate acestea, în timp ce aplicația a funcționat așa cum era anunțat, scriptul rula în secret o serie de scripturi PowerShell obscure și rău intenționate pentru a instala un troian și alte programe malware.
Dacă există vreun fel de sfat care ar putea fi luat din acest lucru, acesta este faptul că preluarea codului pentru a rula de pe internet necesită un control suplimentar.
Codul scriptului era open source, dar înainte ca cineva să se obosească să se uite la codul său pentru a identifica codul obscur care a descărcat malware-ul, scriptul a înregistrat sute de descărcări. Dar, din moment ce scenariul a funcționat așa cum era anunțat, nimeni nu a observat că ceva nu era în regulă.
Folosind exemplul campaniei SolarWinds din 2020, care a infectat mai multe agenții guvernamentale, Garret Grajek, CEO al YouAttest, a opinat că hackerii au descoperit că cea mai bună modalitate de a introduce malware în computerele noastre este să ne punem să-l instalăm noi înșine.
„Fie că este vorba de produse achiziționate precum SolarWinds sau prin sursă deschisă, dacă hackerii își pot introduce codul într-un software „legitim”, pot economisi efortul și cheltuielile exploatării hackurilor zero-day și căutând vulnerabilități.” Grajek a spus Lifewire prin e-mail.
Nasser Fattah, președintele comitetului de conducere pentru America de Nord la Shared Assessments, a adăugat că, în cazul Powershell Windows Toolbox, malware-ul troian și-a îndeplinit promisiunea, dar a avut un cost ascuns.
„Malware troian bun este unul care oferă toate capabilitățile și funcțiile pe care le face publicitate… plus mai multe (malware),” a spus Fattah pentru Lifewire prin e-mail.
Fattah a subliniat, de asemenea, că utilizarea unui script Powershell de către proiect a fost primul semn care l-a speriat.„Trebuie să fim foarte atenți la rularea oricăror scripturi Powershell de pe internet. Hackerii au și vor continua să folosească Powershell pentru a distribui programe malware”, a avertizat Fattah.
Hammond este de acord. Parcurgând documentația proiectului care a fost acum scos offline de GitHub, sugestia de a porni o interfață de comandă cu privilegii administrative și de a rula o linie de cod care preia și rulează cod de pe Internet, este ceea ce a declanșat clopotele de avertizare pentru el..
Responsabilitate partajată
David Cundiff, ofițer șef de securitate a informațiilor la Cyvatar, consideră că oamenii pot învăța mai multe lecții din acest software cu aspect normal și rău-intenționat.
„Securitatea este o responsabilitate comună, așa cum este descrisă în propria abordare de securitate a GitHub”, a subliniat Cundiff. „Aceasta înseamnă că nicio entitate nu ar trebui să se bazeze complet pe un singur punct de eșec din lanț.”
În plus, el a sfătuit că oricine descarcă cod de pe GitHub ar trebui să țină ochii cu ochii în căutarea semnelor de avertizare, adăugând că situația se va repeta dacă oamenii vor opera în ipoteza că totul va fi în ordine, deoarece software-ul este găzduit pe o platformă de încredere și de renume.
„În timp ce Github este o platformă de partajare a codului de renume, utilizatorii pot partaja orice instrument de securitate pentru bine, precum și pentru rău”, a fost de acord Hammond.
