Key takeaways
- Et ondsindet værktøj pressede malware i form af at forenkle installationen af Android-apps i Windows.
- Værktøjet fungerede som annonceret, så det rejste ingen røde flag.
-
Eksperter foreslår, at folk håndterer enhver software, der er downloadet fra tredjepartswebsteder, med største omhu.
Bare fordi open source-softwarens kode er tilgængelig for alle at se, betyder det ikke, at alle kigger på den.
Hackere dragede fordel af dette og valgte et tredjeparts Windows 11 ToolBox-script til at distribuere malware. På overfladen fungerer appen som annonceret og hjælper med at tilføje Google Play Butik til Windows 11. Men bag kulisserne inficerede den også de computere, den kørte på, med alle former for malware.
"Hvis der er nogen form for råd, der kan hentes fra dette, er det, at det at gribe kode for at løbe væk fra internettet kræver ekstra undersøgelse," sagde John Hammond, Senior Security Researcher hos Huntress, til Lifewire via e-mail.
Daylight Robbery
En af de mest ivrigt ventede funktioner i Windows 11 var dens evne til at køre Android-apps direkte fra Windows. Men da funktionen endelig blev frigivet, var folk begrænset til at installere en håndfuld kuraterede apps fra Amazon App Store og ikke Google Play Butik, som folk havde håbet.
Der var et pusterum, da Windows-undersystemet til Android tillod folk at sideindlæse apps ved hjælp af Android Debug Bridge (adb), hvilket i det væsentlige tillod installation af enhver Android-app i Windows 11.
Apps begyndte snart at dukke op på GitHub, såsom Windows Subsystem for Android Toolbox, som forenklede installationen af enhver Android-app i Windows 11. En sådan app kaldet Powershell Windows Toolbox tilbød også muligheden sammen med flere andre muligheder, for eksempel for at fjerne oppustethed fra en Windows 11-installation, justere den for ydeevne og mere.
Mens appen fungerede som annonceret, kørte scriptet i al hemmelighed en række slørede, ondsindede PowerShell-scripts for at installere en trojan og anden malware.
Hvis der er nogen form for råd, der kunne hentes fra dette, er det, at det at gribe kode for at løbe væk fra internettet kræver ekstra undersøgelse.
Scriptets kode var åben kildekode, men før nogen gad se på dets kode for at se den slørede kode, der downloadede malwaren, havde scriptet klokket hundredvis af downloads. Men da manuskriptet fungerede som annonceret, var der ingen, der bemærkede, at der var noget g alt.
Ved at bruge eksemplet med 2020's SolarWinds-kampagne, der inficerede adskillige statslige agenturer, mente Garret Grajek, CEO for YouAttest, at hackere har fundet ud af, at den bedste måde at få malware ind på vores computere på, er at få os til at installere det selv.
"Det være sig gennem købte produkter som SolarWinds eller gennem open source, hvis hackerne kan få deres kode ind i 'legitim' software, kan de spare besværet og udgifterne til at udnytte zero-day hacks og lede efter sårbarheder," Grajek fort alte Lifewire via e-mail.
Nasser Fattah, Nordamerika-styrekomitéformand ved Shared Assessments, tilføjede, at i tilfældet med Powershell Windows Toolbox levede den trojanske malware dets løfte, men havde en skjult pris.
"God trojansk malware er en, der giver alle de egenskaber og funktioner, som den reklamerer for, den gør… plus mere (malware)," fort alte Fattah Lifewire via e-mail.
Fattah påpegede også, at projektets brug af et Powershell-script var det første tegn, der skræmte ham."Vi skal være meget forsigtige med at køre Powershell-scripts fra internettet. Hackere har og vil fortsætte med at udnytte Powershell til at distribuere malware," advarede Fattah.
Hammond er enig. At gennemlæse dokumentationen af projektet, som nu er blevet taget offline af GitHub, forslaget om at starte en kommandogrænseflade med administrative rettigheder og køre en kodelinje, der henter og kører kode fra internettet, er det, der satte advarselsklokkerne i gang for ham.
Delt ansvar
David Cundiff, Chief Information Security Officer hos Cyvatar, mener, at der er flere lektioner, folk kan lære af denne normale-udseende-med-ondsindede-inside-software.
"Sikkerhed er et delt ansvar som beskrevet i GitHubs egen sikkerhedstilgang," påpegede Cundiff. "Det betyder, at ingen enhed bør stole fuldstændigt på et enkelt fejlpunkt i kæden."
Yderligere rådede han til, at alle, der downloader kode fra GitHub, skulle holde øjnene åbne for advarselsskilte, og tilføjede, at situationen vil gentage sig selv, hvis folk opererer under den antagelse, at alt vil være i orden, da softwaren er hostet på en pålidelig og velrenommeret platform.
"Mens Github er en velrenommeret kodedelingsplatform, kan brugere dele ethvert sikkerhedsværktøj både på godt og ondt", sagde Hammond.
