Klíčové poznatky
- Škodlivý nástroj podstrčil malware v podobě zjednodušení instalace aplikací pro Android ve Windows.
- Nástroj fungoval tak, jak bylo inzerováno, takže nevyvolal žádné varovné signály.
-
Odborníci doporučují lidem zacházet s veškerým softwarem staženým ze stránek třetích stran s maximální opatrností.
Jen proto, že je kód open source softwaru dostupný pro každého, neznamená to, že se na něj všichni podívají.
Hackeři toho využili a kooptovali skript Windows 11 ToolBox třetí strany k distribuci malwaru. Na povrchu aplikace funguje tak, jak je inzerováno, a pomáhá přidat Obchod Google Play do Windows 11. V zákulisí však také infikovala počítače, na kterých běžela, nejrůznějším malwarem.
„Pokud z toho lze vyvodit nějakou radu, pak je to ta, že zachycení kódu pro únik z internetu vyžaduje zvláštní kontrolu,“řekl Lifewire e-mailem John Hammond, hlavní bezpečnostní výzkumník ve společnosti Huntress.
Loupež za denního světla
Jednou z netrpělivě očekávaných funkcí Windows 11 byla jeho schopnost spouštět aplikace pro Android přímo z Windows. Když však byla tato funkce konečně vydána, lidé byli omezeni na instalaci několika vybraných aplikací z obchodu Amazon App Store a nikoli z obchodu Google Play, jak lidé doufali.
Došlo k určitému oddechu, protože podsystém Windows pro Android lidem umožňoval načítat aplikace pomocí nástroje Android Debug Bridge (adb), což v podstatě umožňuje instalaci jakékoli aplikace pro Android ve Windows 11.
Aplikace se brzy začaly objevovat na GitHubu, například Windows Subsystem for Android Toolbox, který zjednodušil instalaci jakékoli aplikace pro Android ve Windows 11. Jedna taková aplikace s názvem Powershell Windows Toolbox také nabízela tuto možnost spolu s několika dalšími možnostmi., například odstranit nadýmání z instalace Windows 11, vyladit ji pro výkon a další.
Zatímco aplikace fungovala tak, jak bylo inzerováno, skript tajně spouštěl řadu zatemněných, škodlivých skriptů PowerShell k instalaci trojského koně a dalšího malwaru.
Pokud z toho lze vyvodit nějakou radu, pak je to ta, že získání kódu pro únik z internetu vyžaduje zvláštní kontrolu.
Kód skriptu byl open source, ale než se někdo obtěžoval podívat se na jeho kód, aby objevil zatemněný kód, který stahoval malware, skript zaznamenal stovky stažení. Ale protože scénář fungoval tak, jak bylo inzerováno, nikdo si nevšiml, že něco není v pořádku.
Na příkladu kampaně SolarWinds z roku 2020, která infikovala několik vládních agentur, Garret Grajek, generální ředitel YouAttest, uvedl, že hackeři přišli na to, že nejlepší způsob, jak dostat malware do našich počítačů, je nechat nás nainstalovat si jej sami.
„Ať už prostřednictvím zakoupených produktů, jako je SolarWinds, nebo prostřednictvím open source, pokud hackeři dokážou dostat svůj kód do „legitimního“softwaru, mohou si ušetřit úsilí a náklady na zneužívání zero-day hacků a hledání zranitelností,“Grajek řekl Lifewire e-mailem.
Nasser Fattah, předseda řídícího výboru pro Severní Ameriku na Shared Assessments, dodal, že v případě Powershell Windows Toolbox trojský malware splnil svůj slib, ale měl skrytou cenu.
„Dobrý trojský malware je takový, který poskytuje všechny schopnosti a funkce, které inzeruje… a další (malware), “řekl Fattah Lifewire e-mailem.
Fattah také poukázal na to, že použití skriptu Powershell v projektu bylo prvním znamením, které ho vyděsilo."Musíme být velmi opatrní při spouštění jakýchkoli skriptů Powershell z internetu. Hackeři mají a budou nadále využívat Powershell k distribuci malwaru," varoval Fattah.
Hammond souhlasí. Prozkoumání dokumentace projektu, kterou nyní GitHub převedl do režimu offline, návrh spustit příkazové rozhraní s administrátorskými právy a spustit řádek kódu, který načítá a spouští kód z internetu, je tím, co pro něj spustilo varovné zvony..
Sdílená odpovědnost
David Cundiff, ředitel informační bezpečnosti ve společnosti Cyvatar, věří, že existuje několik lekcí, které se lidé mohou naučit z tohoto normálně vypadajícího softwaru se škodlivými vnitřnostmi.
„Zabezpečení je sdílená odpovědnost, jak je popsáno u vlastního bezpečnostního přístupu GitHubu,“zdůraznil Cundiff. "To znamená, že žádná entita by se neměla zcela spoléhat na jediný bod selhání v řetězci."
Dále poradil, aby každý, kdo si stáhne kód z GitHubu, nespouštěl oči z varovných signálů, a dodal, že situace se bude opakovat, pokud lidé budou pracovat za předpokladu, že vše bude v pořádku, protože software je hostován na důvěryhodná a uznávaná platforma.
„Zatímco je Github uznávaná platforma pro sdílení kódu, uživatelé mohou sdílet jakékoli bezpečnostní nástroje pro dobro i zlo,“souhlasil Hammond.
