Ключевые выводы
- Вредоносный инструмент продвигал вредоносное ПО под видом упрощения установки приложений Android в Windows.
- Инструмент работал так, как рекламируется, поэтому он не вызывал никаких опасений.
-
Эксперты советуют людям обращаться с любым программным обеспечением, загруженным со сторонних сайтов, с особой осторожностью.
Тот факт, что код программного обеспечения с открытым исходным кодом доступен для просмотра всем, не означает, что каждый может его посмотреть.
Пользуясь этим, хакеры использовали сторонний скрипт Windows 11 ToolBox для распространения вредоносных программ. На первый взгляд приложение работает так, как рекламируется, и помогает добавить Google Play Store в Windows 11. Однако за кулисами оно также заражало компьютеры, на которых оно работало, всевозможными вредоносными программами.
«Если из этого можно извлечь какой-либо совет, так это то, что захват кода для запуска из Интернета требует дополнительной проверки», - сказал Lifewire по электронной почте Джон Хаммонд, старший исследователь безопасности в Huntress.
Ограбление при дневном свете
Одной из наиболее ожидаемых функций Windows 11 была возможность запуска приложений Android непосредственно из Windows. Однако, когда эта функция наконец была выпущена, люди были ограничены установкой нескольких специально отобранных приложений из Amazon App Store, а не из Google Play Store, как люди надеялись.
Была некоторая передышка, поскольку подсистема Windows для Android позволяла людям загружать приложения с помощью Android Debug Bridge (adb), по сути позволяя устанавливать любое приложение Android в Windows 11.
Приложения вскоре начали появляться на GitHub, например, Windows Subsystem for Android Toolbox, которая упростила установку любого Android-приложения в Windows 11. Одно такое приложение под названием Powershell Windows Toolbox также предлагало эту возможность наряду с несколькими другими опциями., например, чтобы удалить раздувание из установки Windows 11, настроить ее для повышения производительности и многое другое.
Однако, хотя приложение работало, как рекламируется, скрипт тайно запускал серию запутанных вредоносных скриптов PowerShell для установки трояна и других вредоносных программ.
Если из этого можно извлечь какой-то совет, так это то, что получение кода для запуска из Интернета требует дополнительной проверки.
Код скрипта был с открытым исходным кодом, но прежде чем кто-либо удосужился взглянуть на его код, чтобы обнаружить запутанный код, который загружал вредоносное ПО, скрипт насчитал сотни загрузок. Но поскольку скрипт работал как заявлено, никто не заметил, что что-то не так.
Используя пример кампании SolarWinds 2020 года, которая заразила несколько правительственных учреждений, Гаррет Грайек, генеральный директор YouAttest, высказал мнение, что хакеры выяснили, что лучший способ занести вредоносное ПО на наши компьютеры - заставить нас установить его самостоятельно.
"Будь то через приобретенные продукты, такие как SolarWinds, или через открытый исходный код, если хакеры смогут внедрить свой код в "легитимное" программное обеспечение, они смогут сэкономить усилия и затраты на использование хаков нулевого дня и поиск уязвимостей", Граек сказал Lifewire по электронной почте.
Насер Фаттах, председатель Североамериканского руководящего комитета Shared Assessments, добавил, что в случае с Powershell Windows Toolbox троянское вредоносное ПО выполнило свое обещание, но имело скрытую цену.
«Хорошая вредоносная программа-троян - это та, которая предоставляет все возможности и функции, которые она рекламирует… плюс еще (вредоносное ПО)», - сказал Фаттах Lifewire по электронной почте.
Фаттах также отметил, что использование в проекте скрипта Powershell было первым признаком, который напугал его.«Мы должны быть очень осторожны при запуске любых скриптов Powershell из Интернета. Хакеры использовали и будут продолжать использовать Powershell для распространения вредоносного ПО», - предупредил Фаттах.
Хаммонд соглашается. Просматривая документацию проекта, который теперь отключен GitHub, предложение запустить командный интерфейс с правами администратора и запустить строку кода, которая извлекает и запускает код из Интернета, - вот что вызвало у него предупреждающие звоночки..
Общая ответственность
Дэвид Кандифф, директор по информационной безопасности в Cyvatar, считает, что есть несколько уроков, которые люди могут извлечь из этого нормального на вид программного обеспечения со вредоносным кодом.
«Безопасность - это общая ответственность, как описано в собственном подходе GitHub к безопасности», - отметил Кундифф. «Это означает, что ни одна организация не должна полностью полагаться на единственную точку отказа в цепочке».
Кроме того, он посоветовал всем, кто загружает код с GitHub, внимательно следить за предупреждающими знаками, добавив, что ситуация повторится, если люди будут действовать, предполагая, что все будет в порядке, поскольку программное обеспечение размещено на надежная и уважаемая платформа.
«Хотя Github является авторитетной платформой для обмена кодом, пользователи могут делиться любыми инструментами безопасности как во благо, так и во вред», - согласился Хаммонд.
