Key Takeaways
- Zlonamjerni alat gurnuo je zlonamjerni softver pod krinkom pojednostavljivanja instalacije Android aplikacija u Windowsu.
- Alat je radio kako je reklamirano, tako da nije izazvao nikakve crvene zastavice.
-
Stručnjaci sugeriraju da ljudi s najvećom pažnjom rukuju bilo kojim softverom preuzetim sa stranica trećih strana.
Samo zato što je kod softvera otvorenog koda dostupan svima da ga vide, to ne znači da ga svi pogledaju.
Iskoristivši ovo, hakeri su koristili Windows 11 ToolBox skript treće strane za distribuciju zlonamjernog softvera. Na površini, aplikacija radi kako je reklamirana i pomaže u dodavanju Google Play trgovine u Windows 11. Međutim, iza kulisa, također je zarazila računare na kojima je radila svim vrstama zlonamjernog softvera.
"Ako postoji bilo kakav savjet koji bi se mogao izvući iz ovoga, to je da hvatanje koda za bijeg sa interneta zahtijeva dodatnu kontrolu," rekao je John Hammond, viši istraživač sigurnosti u Huntress, za Lifewire putem e-pošte.
Daylight pljačka
Jedna od najiščekivanijih karakteristika Windowsa 11 bila je njegova mogućnost pokretanja Android aplikacija direktno iz Windows-a. Međutim, kada je ova funkcija konačno objavljena, ljudi su bili ograničeni na instaliranje nekoliko odabranih aplikacija iz Amazon App Store-a, a ne iz Google Play Store-a kako su se ljudi nadali.
Došlo je do određenog predaha jer je Windows podsistem za Android omogućio ljudima da učitavaju aplikacije uz pomoć Android Debug Bridge-a (adb), u suštini omogućavajući instalaciju bilo koje Android aplikacije u Windows 11.
Aplikacije su uskoro počele da se pojavljuju na GitHubu, kao što je Windows podsistem za Android Toolbox, koji je pojednostavio instalaciju bilo koje Android aplikacije u Windows 11. Jedna takva aplikacija pod nazivom Powershell Windows Toolbox takođe nudi mogućnost zajedno sa nekoliko drugih opcija, na primjer, da biste uklonili naduvanost iz instalacije Windows 11, podesili je za performanse i još mnogo toga.
Međutim, dok je aplikacija radila kako je reklamirana, skripta je potajno pokretala niz zamagljenih, zlonamjernih PowerShell skripti za instaliranje trojanskog i drugog zlonamjernog softvera..
Ako se iz ovoga može izvući bilo kakav savjet, to je da hvatanje koda da bi se pobjeglo s interneta zahtijeva dodatnu kontrolu.
Kôd skripte je bio otvorenog koda, ali prije nego što se iko potrudio da pogleda njegov kod kako bi uočio zamućeni kod koji je preuzeo zlonamjerni softver, skripta je imala stotine preuzimanja. Ali pošto je scenario funkcionisao kako je reklamirano, niko nije primetio da nešto nije u redu.
Koristeći primjer kampanje SolarWinds iz 2020. godine koja je zarazila više vladinih agencija, Garret Grajek, izvršni direktor YouAttest-a, smatra da su hakeri shvatili da je najbolji način da unesu zlonamjerni softver u naše računare da ga sami instaliramo.
"Bilo to putem kupljenih proizvoda kao što je SolarWinds ili putem otvorenog koda, ako hakeri mogu ubaciti svoj kod u 'legitimni' softver, mogu uštedjeti trud i trošak iskorištavanja hakova nultog dana i traženja ranjivosti, " Grajek je rekao za Lifewire putem e-maila.
Nasser Fattah, predsjedavajući Upravnog odbora Sjeverne Amerike u Shared Assessments, dodao je da je u slučaju Powershell Windows Toolboxa, trojanski zlonamjerni softver ispunio svoje obećanje, ali je imao skrivenu cijenu.
"Dobar trojanski zlonamjerni softver je onaj koji pruža sve mogućnosti i funkcije koje oglašava… plus više (malware)," rekao je Fattah za Lifewire putem e-pošte.
Fattah je također istakao da je projektno korištenje Powershell skripte prvi znak koji ga je prestrašio."Moramo biti veoma oprezni u pokretanju bilo koje Powershell skripte sa interneta. Hakeri su koristili Powershell i nastavit će koristiti Powershell za distribuciju zlonamjernog softvera", upozorio je Fattah.
Hammond se slaže. Pregledajući dokumentaciju projekta koji je GitHub sada skinuo sa mreže, prijedlog pokretanja komandnog interfejsa sa administrativnim privilegijama i pokretanje linije koda koji dohvaća i pokreće kod sa Interneta, je ono što je za njega pokrenulo zvono upozorenja.
Shared Responsibility
David Cundiff, glavni službenik za sigurnost informacija u Cyvataru, vjeruje da postoji nekoliko lekcija koje ljudi mogu naučiti iz ovog softvera koji normalno izgleda sa zlonamjernim sadržajem.
"Sigurnost je zajednička odgovornost kao što je opisano u GitHub-ovom vlastitom sigurnosnom pristupu", istakao je Cundiff. "To znači da se nijedan entitet ne bi trebao u potpunosti oslanjati na jednu tačku neuspjeha u lancu."
Štaviše, savjetovao je da svako ko preuzme kod sa GitHub-a treba da pazi na znakove upozorenja, dodajući da će se situacija ponoviti ako ljudi budu radili pod pretpostavkom da će sve biti u redu jer je softver hostiran na pouzdana i ugledna platforma.
"Dok je Github renomirana platforma za dijeljenje koda, korisnici mogu dijeliti bilo koje sigurnosne alate za dobro, kao i za zlo", složio se Hammond.
