Key takeaways
- Ett skadligt verktyg drev skadlig programvara i sken av att förenkla installationen av Android-appar i Windows.
- Verktyget fungerade som annonserat, så det lyfte inga röda flaggor.
-
Experter föreslår att folk hanterar all programvara som laddas ner från tredjepartswebbplatser med största försiktighet.
Bara för att koden för programvaran med öppen källkod är tillgänglig för alla, betyder det inte att alla tittar på den.
Hackare utnyttjade detta och valde ett tredjeparts Windows 11 ToolBox-skript för att distribuera skadlig programvara. På ytan fungerar appen som annonserad och hjälper till att lägga till Google Play Butik i Windows 11. Men bakom kulisserna infekterade den också datorerna som den kördes på med alla typer av skadlig programvara.
"Om det finns något slags råd som kan hämtas från detta, är det att greppa kod för att köra bort internet kräver extra granskning", sa John Hammond, senior säkerhetsforskare på Huntress, till Lifewire via e-post.
Daylight Robbery
En av de mest efterlängtade funktionerna i Windows 11 var dess förmåga att köra Android-appar direkt från Windows. Men när funktionen äntligen släpptes var folk begränsade till att installera en handfull kurerade appar från Amazon App Store och inte från Google Play Store som folk hade hoppats.
Det fanns ett visst uppehåll eftersom Windows-undersystemet för Android tillät människor att sidladda appar med hjälp av Android Debug Bridge (adb), vilket i huvudsak tillåter installation av alla Android-appar i Windows 11.
Appar började snart dyka upp på GitHub, till exempel Windows Subsystem for Android Toolbox, som förenklade installationen av vilken Android-app som helst i Windows 11. En sådan app kallad Powershell Windows Toolbox erbjöd också möjligheten tillsammans med flera andra alternativ, till exempel för att ta bort bloat från en Windows 11-installation, justera den för prestanda och mer.
Men medan appen fungerade som den annonserades körde skriptet i hemlighet en serie fördunklade, skadliga PowerShell-skript för att installera en trojan och annan skadlig kod.
Om det finns något slags råd som kan hämtas från detta, är det att greppa kod för att köra från internet kräver extra granskning.
Skriptets kod var öppen källkod, men innan någon brydde sig om att titta på dess kod för att upptäcka den obfuskerade koden som laddade ner skadlig programvara, hade skriptet klockat hundratals nedladdningar. Men eftersom manuset fungerade som annonserat märkte ingen att något var fel.
Med hjälp av exemplet med 2020 års SolarWinds-kampanj som infekterade flera statliga myndigheter, ansåg Garret Grajek, VD för YouAttest, att hackare har kommit på det bästa sättet att få in skadlig programvara i våra datorer är att låta oss installera det själva.
"Oavsett om det är genom köpta produkter som SolarWinds eller genom öppen källkod, om hackarna kan få in sin kod i "legitima" programvara, kan de spara ansträngning och kostnad för att utnyttja nolldagshack och leta efter sårbarheter, " Grajek berättade för Lifewire via e-post.
Nasser Fattah, Nordamerikas styrkommittésordförande vid Shared Assessments, tillade att i fallet med Powershell Windows Toolbox höll den trojanska skadliga programvaran sitt löfte men hade en dold kostnad.
"Bra trojanska skadliga program är en som tillhandahåller alla de möjligheter och funktioner som den annonserar att den gör… plus mer (skadlig programvara", sa Fattah till Lifewire via e-post.
Fattah påpekade också att projektets användning av ett Powershell-manus var det första tecknet som skrämde honom."Vi måste vara mycket försiktiga med att köra Powershell-skript från internet. Hackare har och kommer att fortsätta att utnyttja Powershell för att distribuera skadlig programvara", varnade Fattah.
Hammond håller med. Att läsa igenom dokumentationen av projektet som nu har tagits offline av GitHub, förslaget att starta ett kommandogränssnitt med administrativa privilegier och köra en kodrad som hämtar och kör kod från Internet, är det som satte igång varningsklockorna för honom.
Delat ansvar
David Cundiff, informationssäkerhetschef på Cyvatar, tror att det finns flera lärdomar som människor kan dra av denna mjukvara som ser norm alt ut med skadlig insida.
"Säkerhet är ett delat ansvar som beskrivs i GitHubs egen säkerhetsstrategi", påpekade Cundiff. "Detta betyder att ingen enhet bör förlita sig helt på en enda punkt av fel i kedjan."
Dessutom rådde han att alla som laddar ner kod från GitHub bör hålla ögonen öppna efter varningsskyltar, och tillägger att situationen kommer att upprepa sig om människor arbetar under antagandet att allt kommer att vara i sin ordning eftersom programvaran är värd på en pålitlig och ansedd plattform.
"Medan Github är en ansedd koddelningsplattform, kan användare dela alla säkerhetsverktyg på gott och ont", instämde Hammond.