Ključni podaci za van
- Zlonamjerni alat gurnuo je zlonamjerni softver pod krinkom pojednostavljivanja instalacije Android aplikacija u sustavu Windows.
- Alat je radio kao što je oglašeno, tako da nije izazvao nikakve zastavice.
-
Stručnjaci preporučuju ljudima da s najvećom pažnjom rukuju svim softverom preuzetim sa stranica trećih strana.
Samo zato što je kod softvera otvorenog izvornog koda dostupan svakome za vidjeti, to ne znači da će ga svi pogledati.
Iskoristivši to, hakeri su preuzeli skriptu Windows 11 ToolBox treće strane za distribuciju zlonamjernog softvera. Na površini, aplikacija radi kao što se reklamira i pomaže u dodavanju trgovine Google Play u Windows 11. Međutim, iza kulisa, također je zarazila računala na kojima je radila svim vrstama zlonamjernog softvera.
"Ako postoji bilo kakav savjet koji bi se mogao izvući iz ovoga, to je da otimanje koda za brisanje interneta zahtijeva dodatno ispitivanje," rekao je John Hammond, viši sigurnosni istraživač u Huntressu, za Lifewire putem e-pošte.
Pljačka po danu
Jedna od najočekivanijih značajki sustava Windows 11 bila je njegova mogućnost pokretanja Android aplikacija izravno iz sustava Windows. Međutim, kada je značajka konačno objavljena, ljudi su bili ograničeni na instaliranje nekoliko odabranih aplikacija iz Amazon App Storea, a ne iz Google Play Storea kako su se ljudi nadali.
Bilo je malo predaha otkako je Windows podsustav za Android omogućio ljudima učitavanje aplikacija sa strane uz pomoć Android Debug Bridgea (adb), u biti dopuštajući instalaciju bilo koje Android aplikacije u Windows 11.
Aplikacije su se ubrzo počele pojavljivati na GitHubu, kao što je Windows Subsystem for Android Toolbox, koji je pojednostavio instaliranje bilo koje Android aplikacije u Windows 11. Jedna takva aplikacija pod nazivom Powershell Windows Toolbox također je nudila mogućnost zajedno s nekoliko drugih opcija, na primjer, kako biste uklonili napuhanost instalacije sustava Windows 11, prilagodili performanse i još mnogo toga.
Međutim, dok je aplikacija radila kako je reklamirana, skripta je potajno pokretala niz zamagljenih, zlonamjernih PowerShell skripti za instaliranje trojanaca i drugog zlonamjernog softvera.
Ako postoji bilo kakav savjet koji bi se mogao izvući iz ovoga, to je da grabljenje koda za pokretanje s interneta zahtijeva dodatno ispitivanje.
Kôd skripte bio je otvorenog koda, ali prije nego što se itko potrudio pogledati njegov kod kako bi uočio maskirani kod koji je preuzeo zlonamjerni softver, skripta je imala stotine preuzimanja. Ali budući da je skripta radila kako je reklamirana, nitko nije primijetio da nešto nije u redu.
Koristeći primjer kampanje SolarWinds iz 2020. koja je zarazila više vladinih agencija, Garret Grajek, glavni izvršni direktor YouAttesta, smatra da su hakeri otkrili da je najbolji način da zlonamjerni softver unesemo u naša računala da ga sami instaliramo.
"Bilo to putem kupljenih proizvoda kao što je SolarWinds ili putem otvorenog koda, ako hakeri mogu staviti svoj kod u 'legitiman' softver, mogu uštedjeti trud i troškove iskorištavanja zero-day hakiranja i traženja ranjivosti," Grajek je rekao Lifewireu putem e-pošte.
Nasser Fattah, predsjednik Upravnog odbora za Sjevernu Ameriku u Shared Assessments, dodao je da je u slučaju Powershell Windows Toolboxa zlonamjerni trojanski softver ispunio svoje obećanje, ali je imao skrivenu cijenu.
"Dobar trojanski zlonamjerni softver je onaj koji pruža sve mogućnosti i funkcije koje reklamira da ima… plus više (malware)," rekao je Fattah Lifewireu putem e-pošte.
Fattah je također istaknuo da je korištenje Powershell skripte u projektu bio prvi znak koji ga je uplašio."Moramo biti vrlo oprezni pri pokretanju Powershell skripti s interneta. Hakeri su koristili i nastavit će koristiti Powershell za distribuciju zlonamjernog softvera", upozorio je Fattah.
Hammond se slaže. Pregledavajući dokumentaciju projekta koju je GitHub sada isključio, prijedlog pokretanja naredbenog sučelja s administrativnim privilegijama i pokretanje retka koda koji dohvaća i pokreće kod s Interneta je ono što mu je upalilo zvona upozorenja.
Podijeljena odgovornost
David Cundiff, glavni službenik za informacijsku sigurnost u Cyvataru, vjeruje da postoji nekoliko lekcija koje ljudi mogu naučiti iz ovog softvera normalnog izgleda sa zlonamjernim sadržajem.
"Sigurnost je zajednička odgovornost kao što je opisano u sigurnosnom pristupu GitHuba", istaknuo je Cundiff. "To znači da se nijedan entitet ne bi trebao potpuno oslanjati na jednu točku kvara u lancu."
Nadalje, savjetovao je da svatko tko preuzme kod s GitHuba treba otvoriti oči zbog znakova upozorenja, dodajući da će se situacija ponoviti ako ljudi budu radili pod pretpostavkom da će sve biti u redu budući da se softver nalazi na pouzdana i ugledna platforma.
"Iako je Github ugledna platforma za dijeljenje koda, korisnici mogu dijeliti bilo koji sigurnosni alat za dobro, kao i za zlo," složio se Hammond.
