Folje kryesore
- Një mjet keqdashës shtyu malware nën maskën e thjeshtimit të instalimit të aplikacioneve Android në Windows.
- Mjeti funksionoi siç u shpall, kështu që nuk ngriti asnjë flamur të kuq.
-
Ekspertët sugjerojnë që njerëzit të trajtojnë çdo softuer të shkarkuar nga sajtet e palëve të treta me kujdesin maksimal.
Vetëm për shkak se kodi i softuerit me burim të hapur është i disponueshëm për këdo për ta parë, kjo nuk do të thotë që të gjithë i hedhin një sy.
Duke përfituar nga kjo, hakerët zgjodhën një skript të Windows 11 ToolBox të palës së tretë për të shpërndarë malware. Në pamje të parë, aplikacioni funksionon siç reklamohet dhe ndihmon në shtimin e "Google Play Store" në Windows 11. Megjithatë, në prapaskenë, ai infektoi gjithashtu kompjuterët me të cilët punonte me të gjitha llojet e programeve keqdashëse.
"Nëse ka ndonjë lloj këshille që mund të merret nga kjo, është se marrja e kodit për të hequr qafe internetin kërkon një shqyrtim shtesë," tha John Hammond, Hulumtues i Lartë i Sigurisë në Huntress, përmes emailit për Lifewire.
Grabitje në dritën e ditës
Një nga veçoritë më të pritura me padurim të Windows 11 ishte aftësia e tij për të ekzekutuar aplikacionet Android direkt nga brenda Windows. Megjithatë, kur funksioni u lëshua më në fund, njerëzit u kufizuan të instalonin një sërë aplikacionesh të kuruara nga Amazon App Store dhe jo nga Google Play Store siç kishin shpresuar njerëzit.
Kishte pak kohë pasi Nënsistemi Windows për Android i lejoi njerëzit të ngarkonin aplikacionet me ndihmën e Android Debug Bridge (adb), në thelb duke lejuar instalimin e çdo aplikacioni Android në Windows 11.
Së shpejti Aplikacionet filluan të shfaqen në GitHub, si p.sh. "Windows Subsystem for Android Toolbox", i cili thjeshtoi instalimin e çdo aplikacioni Android në Windows 11. Një aplikacion i tillë i quajtur Powershell Windows Toolbox ofroi gjithashtu aftësinë së bashku me disa opsione të tjera, për shembull, për të hequr fryrjen nga një instalim i Windows 11, rregulloje atë për performancë dhe më shumë.
Megjithatë, ndërsa aplikacioni funksiononte siç reklamohej, skripti po ekzekutonte fshehurazi një seri skriptesh të turbullta, keqdashëse PowerShell për të instaluar një trojan dhe softuer të tjerë keqdashës.
Nëse ka ndonjë lloj këshille që mund të merret nga kjo, është se marrja e kodit për të hequr qafe internetin kërkon një shqyrtim shtesë.
Kodi i skriptit ishte me burim të hapur, por përpara se dikush të shqetësonte të shikonte kodin e tij për të dalluar kodin e turbullt që shkarkonte malware, skripti kishte bërë qindra shkarkime. Por meqenëse skenari funksionoi siç reklamohej, askush nuk vuri re se diçka nuk shkonte.
Duke përdorur shembullin e fushatës SolarWinds të 2020-ës që infektoi shumë agjenci qeveritare, Garret Grajek, CEO i YouAttest, mendoi se hakerët kanë gjetur mënyrën më të mirë për të futur malware në kompjuterët tanë është që ne ta instalojmë vetë.
"Qoftë përmes produkteve të blera si SolarWinds ose përmes burimit të hapur, nëse hakerat mund ta marrin kodin e tyre në softuer 'legjitim', ata mund të kursejnë përpjekjet dhe shpenzimet e shfrytëzimit të hakimeve të ditës zero dhe kërkimit të dobësive, " Grajek i tha Lifewire përmes emailit.
Nasser Fattah, Kryetar i Komitetit Drejtues të Amerikës së Veriut në Shared Assessments, shtoi se në rastin e Powershell Windows Toolbox, malware trojan përmbushi premtimin e tij, por kishte një kosto të fshehur.
"Malware i mirë trojan është ai që ofron të gjitha aftësitë dhe funksionet që ai reklamon se bën… plus më shumë (malware), " i tha Fattah Lifewire përmes emailit.
Fattah gjithashtu theksoi se përdorimi i një skenari Powershell nga projekti ishte shenja e parë që e trembi atë."Ne duhet të jemi shumë të kujdesshëm ndaj ekzekutimit të çdo skripti Powershell nga interneti. Hakerët kanë dhe do të vazhdojnë të përdorin Powershell për të shpërndarë malware," paralajmëroi Fattah.
Hammond pajtohet. Shqyrtimi i dokumentacionit të projektit që tani është hequr nga GitHub, sugjerimi për të nisur një ndërfaqe komanduese me privilegje administrative dhe për të ekzekutuar një linjë kodi që merr dhe ekzekuton kodin nga Interneti, është ajo që ndezi kambanat paralajmëruese për të..
Përgjegjësi e përbashkët
David Cundiff, zyrtari kryesor i sigurisë së informacionit në Cyvatar, beson se ka disa mësime që njerëzit mund të mësojnë nga ky softuer me pamje normale dhe me qëllim të keq.
"Siguria është një përgjegjësi e përbashkët siç përshkruhet në qasjen e sigurisë së vetë GitHub," vuri në dukje Cundiff. "Kjo do të thotë që asnjë ent nuk duhet të mbështetet plotësisht në një pikë të vetme dështimi në zinxhir."
Për më tepër, ai këshilloi që kushdo që shkarkon kodin nga GitHub duhet të mbajë sytë mbyllur për shenja paralajmëruese, duke shtuar se situata do të përsëritet nëse njerëzit veprojnë nën supozimin se gjithçka do të jetë në rregull pasi softueri është i vendosur në një platformë e besueshme dhe me reputacion.
"Ndërsa Github është një platformë me reputacion për ndarjen e kodit, përdoruesit mund të ndajnë çdo mjet sigurie për të mirën, si dhe për të keqen," ra dakord Hammond.
