Kľúčové poznatky
- Škodlivý nástroj šíril malvér v podobe zjednodušenia inštalácie aplikácií pre Android v systéme Windows.
- Nástroj fungoval tak, ako bol inzerovaný, takže nevyvolal žiadne červené vlajky.
-
Odborníci odporúčajú ľuďom zaobchádzať so softvérom stiahnutým zo stránok tretích strán s maximálnou opatrnosťou.
Len preto, že kód softvéru s otvoreným zdrojovým kódom môže vidieť každý, neznamená to, že si ho každý pozrie.
Hackeri využili túto výhodu a kooptovali skript Windows 11 ToolBox tretej strany na distribúciu malvéru. Aplikácia na povrchu funguje tak, ako je inzerovaná, a pomáha pridať Obchod Google Play do systému Windows 11. V zákulisí však infikovala aj počítače, na ktorých bežala, všetkými druhmi malvéru.
„Ak z toho možno vyvodiť nejakú radu, tak je to tá, že uchopenie kódu na únik z internetu si vyžaduje dodatočnú kontrolu,“povedal pre Lifewire e-mailom John Hammond, hlavný bezpečnostný výskumník v spoločnosti Huntress.
Lúpež za denného svetla
Jednou z najviac očakávaných funkcií Windowsu 11 bola jeho schopnosť spúšťať aplikácie pre Android priamo z Windowsu. Keď však bola táto funkcia konečne uvoľnená, ľudia si mohli nainštalovať niekoľko vybraných aplikácií z obchodu Amazon App Store a nie z obchodu Google Play, ako ľudia dúfali.
Došlo k určitému odmäku, pretože podsystém Windows pre Android umožnil ľuďom sťahovať aplikácie pomocou nástroja Android Debug Bridge (adb), čo v podstate umožnilo inštaláciu ľubovoľnej aplikácie pre Android v systéme Windows 11.
Aplikácie sa čoskoro začali objavovať na GitHub, ako napríklad Windows Subsystem for Android Toolbox, ktorý zjednodušil inštaláciu akejkoľvek aplikácie pre Android v systéme Windows 11. Jedna takáto aplikácia s názvom Powershell Windows Toolbox ponúkala túto možnosť spolu s niekoľkými ďalšími možnosťami., ak chcete napríklad odstrániť nadúvanie z inštalácie systému Windows 11, vylepšiť ho na výkon a ďalšie.
Avšak kým aplikácia fungovala tak, ako bola inzerovaná, skript tajne spúšťal sériu zmätených, škodlivých skriptov PowerShell na inštaláciu trójskeho koňa a iného malvéru.
Ak z toho možno vyvodiť nejakú radu, je to tá, že získanie kódu na spustenie internetu si vyžaduje dodatočnú kontrolu.
Kód skriptu bol open source, ale predtým, ako sa niekto obťažoval pozrieť sa na jeho kód, aby objavil zahmlený kód, ktorý stiahol malvér, skript zaznamenal stovky stiahnutí. Ale keďže scenár fungoval tak, ako bolo inzerované, nikto si nevšimol, že niečo nie je v poriadku.
Na príklade kampane SolarWinds z roku 2020, ktorá infikovala viaceré vládne agentúry, Garret Grajek, generálny riaditeľ YouAttest, zastával názor, že hackeri prišli na to, že najlepší spôsob, ako dostať malvér do našich počítačov, je nechať nás ho nainštalovať sami.
„Či už je to prostredníctvom zakúpených produktov, ako je SolarWinds, alebo prostredníctvom open source, ak hackeri dokážu dostať svoj kód do „legitímneho“softvéru, môžu si ušetriť námahu a náklady na zneužívanie zero-day hackov a hľadanie zraniteľností,“Grajek povedal Lifewire e-mailom.
Nasser Fattah, predseda riadiaceho výboru pre Severnú Ameriku na Shared Assessments, dodal, že v prípade Powershell Windows Toolbox trójsky malvér splnil svoj sľub, ale mal skryté náklady.
"Dobrý trójsky malvér je ten, ktorý poskytuje všetky schopnosti a funkcie, ktoré propaguje… a ďalšie (malvér), " povedal Fattah Lifewire e-mailom.
Fattah tiež poukázal na to, že použitie skriptu Powershell v projekte bolo prvým znakom, ktorý ho vystrašil."Musíme byť veľmi opatrní pri spúšťaní akýchkoľvek skriptov Powershell z internetu. Hackeri využívajú a budú naďalej využívať Powershell na distribúciu škodlivého softvéru," varoval Fattah.
Hammond súhlasí. Prehliadanie dokumentácie projektu, ktorú GitHub stiahol do režimu offline, návrh na spustenie príkazového rozhrania s oprávneniami správcu a spustenie riadku kódu, ktorý načítava a spúšťa kód z internetu, je to, čo pre neho spustilo varovné zvony..
Zdieľaná zodpovednosť
David Cundiff, šéf informačnej bezpečnosti v spoločnosti Cyvatar, verí, že existuje niekoľko lekcií, ktoré sa ľudia môžu naučiť z tohto normálne vyzerajúceho softvéru so škodlivými vnútornými vlastnosťami.
„Bezpečnosť je spoločnou zodpovednosťou, ako je popísané vo vlastnom prístupe k bezpečnosti GitHub,“zdôraznil Cundiff. "To znamená, že žiadna entita by sa nemala úplne spoliehať na jediný bod zlyhania v reťazci."
Okrem toho odporučil, aby každý, kto si stiahne kód z GitHubu, nespúšťal oči z varovných signálov a dodal, že situácia sa bude opakovať, ak ľudia budú pracovať v domnienke, že všetko bude v poriadku, keďže softvér je hosťovaný na dôveryhodná a uznávaná platforma.
„Aj keď je Github uznávaná platforma na zdieľanie kódu, používatelia môžu zdieľať akékoľvek bezpečnostné nástroje pre dobro aj zlo,“súhlasil Hammond.