Key takeaways
- Et ondsinnet verktøy presset skadevare i form av å forenkle installasjonen av Android-apper i Windows.
- Verktøyet fungerte som annonsert, så det ga ingen røde flagg.
-
Eksperter foreslår at folk håndterer all programvare som lastes ned fra tredjepartsnettsteder med største forsiktighet.
Bare fordi koden til åpen kildekode er tilgjengelig for alle, betyr det ikke at alle tar en titt på den.
Hackere utnyttet dette og valgte et tredjeparts Windows 11 ToolBox-skript for å distribuere skadelig programvare. På overflaten fungerer appen som annonsert og hjelper til med å legge Google Play Store til Windows 11. Men bak kulissene infiserte den også datamaskinene den kjørte på med all slags skadelig programvare.
"Hvis det er noen form for råd som kan hentes fra dette, er det at det å hente kode for å kjøre av internett krever ekstra gransking," sa John Hammond, senior sikkerhetsforsker ved Huntress, til Lifewire via e-post.
Daylight Robbery
En av de mest etterlengtede funksjonene til Windows 11 var evnen til å kjøre Android-apper direkte fra Windows. Men da funksjonen endelig ble utgitt, var folk begrenset til å installere en håndfull kuraterte apper fra Amazon App Store og ikke Google Play Store som folk hadde håpet.
Det var litt pusterom siden Windows-undersystemet for Android tillot folk å sidelaste apper ved hjelp av Android Debug Bridge (adb), som i hovedsak tillot installasjon av enhver Android-app i Windows 11.
Apper begynte snart å dukke opp på GitHub, for eksempel Windows Subsystem for Android Toolbox, som forenklet installasjon av enhver Android-app i Windows 11. En slik app k alt Powershell Windows Toolbox tilbød også muligheten sammen med flere andre alternativer, for eksempel for å fjerne oppblåsthet fra en Windows 11-installasjon, justere den for ytelse og mer.
Men mens appen fungerte som annonsert, kjørte skriptet i all hemmelighet en serie uklare, ondsinnede PowerShell-skript for å installere en trojaner og annen skadelig programvare.
Hvis det er noen form for råd som kan hentes fra dette, er det at det å hente kode for å kjøre av internett krever ekstra gransking.
Skriptets kode var åpen kildekode, men før noen gadd å se på koden for å oppdage den skjulte koden som lastet ned skadelig programvare, hadde skriptet klokket hundrevis av nedlastinger. Men siden manuset fungerte som annonsert, var det ingen som la merke til at noe var g alt.
Ved å bruke eksemplet med 2020s SolarWinds-kampanje som infiserte flere offentlige etater, mente Garret Grajek, administrerende direktør i YouAttest, at hackere har funnet ut den beste måten å få skadevare inn i datamaskinene våre på, er å få oss til å installere det selv.
"Enten det er gjennom kjøpte produkter som SolarWinds eller gjennom åpen kildekode, hvis hackerne kan få koden sin inn i 'legitim' programvare, kan de spare krefter og utgifter ved å utnytte nulldagshack og lete etter sårbarheter," Grajek fort alte Lifewire via e-post.
Nasser Fattah, leder av Nord-Amerikas styringskomité ved Shared Assessments, la til at når det gjelder Powershell Windows Toolbox, holdt den trojanske skadevaren det løftet, men hadde en skjult kostnad.
"God trojansk malware er en som gir alle egenskapene og funksjonene den annonserer den gjør… pluss mer (skadelig programvare", sa Fattah til Lifewire via e-post.
Fattah påpekte også at prosjektets bruk av et Powershell-manus var det første tegnet som skremte ham."Vi må være veldig forsiktige med å kjøre Powershell-skript fra internett. Hackere har og vil fortsette å utnytte Powershell til å distribuere skadelig programvare," advarte Fattah.
Hammond er enig. Å lese gjennom dokumentasjonen av prosjektet som nå er tatt offline av GitHub, forslaget om å starte et kommandogrensesnitt med administrative rettigheter, og kjøre en kodelinje som henter og kjører kode fra Internett, er det som utløste advarselsklokkene for ham.
Delt ansvar
David Cundiff, sjef for informasjonssikkerhet i Cyvatar, mener det er flere lærdommer folk kan lære av denne programvaren som ser norm alt ut med ondsinnet innside.
"Sikkerhet er et delt ansvar som beskrevet på GitHubs egen sikkerhetstilnærming," påpekte Cundiff. "Dette betyr at ingen enhet skal stole fullstendig på et enkelt feilpunkt i kjeden."
Videre rådet han til at alle som laster ned kode fra GitHub bør holde øynene åpne for advarselsskilt, og la til at situasjonen vil gjenta seg hvis folk opererer under forutsetningen om at alt vil være i orden siden programvaren er vert på en pålitelig og anerkjent plattform.
"Mens Github er en anerkjent kodedelingsplattform, kan brukere dele alle sikkerhetsverktøy på godt og ondt," sa Hammond.
