Mga Key Takeaway
- Isang nakakahamak na tool ang nagtulak ng malware sa pagkukunwari ng pagpapasimple ng pag-install ng mga Android app sa Windows.
- Gumagana ang tool gaya ng na-advertise, kaya hindi ito nagtaas ng anumang pulang bandila.
-
Iminumungkahi ng mga eksperto na pangasiwaan ng mga tao ang anumang software na na-download mula sa mga third-party na site nang may lubos na pangangalaga.
Dahil lang available ang code ng open source software para makita ng sinuman, hindi ito nangangahulugan na titingnan ito ng lahat.
Sinasamantala ito, nag-co-op ang mga hacker ng third-party na Windows 11 ToolBox script upang ipamahagi ang malware. Sa panlabas, gumagana ang app gaya ng ina-advertise at tumutulong na idagdag ang Google Play Store sa Windows 11. Gayunpaman, sa likod ng mga eksena, nahawahan din nito ang mga computer na pinapatakbo nito ng lahat ng uri ng malware.
"Kung mayroong anumang uri ng payo na maaaring kunin mula rito, ang pagkuha ng code para tumakbo sa internet ay nangangailangan ng karagdagang pagsisiyasat," sabi ni John Hammond, Senior Security Researcher sa Huntress, sa Lifewire sa pamamagitan ng email.
Daylight Robbery
Isa sa pinakaaasam na feature ng Windows 11 ay ang kakayahang magpatakbo ng mga Android app nang direkta mula sa loob ng Windows. Gayunpaman, nang sa wakas ay nai-release na ang feature, ang mga tao ay pinaghigpitan sa pag-install ng kaunting mga na-curate na app mula sa Amazon App Store at hindi sa Google Play Store gaya ng inaasahan ng mga tao.
Nagkaroon ng kaunting pahinga dahil pinahintulutan ng Windows Subsystem para sa Android ang mga tao na mag-sideload ng mga app sa tulong ng Android Debug Bridge (adb), sa esensya na nagpapahintulot sa pag-install ng anumang Android app sa Windows 11.
Nagsimulang mag-pop up ang mga app sa GitHub, gaya ng Windows Subsystem para sa Android Toolbox, na nagpasimple sa pag-install ng anumang Android app sa Windows 11. Nag-aalok din ang isang naturang app na tinatawag na Powershell Windows Toolbox ng kakayahan kasama ng ilang iba pang opsyon, halimbawa, para alisin ang bloat mula sa pag-install ng Windows 11, i-tweak ito para sa performance, at higit pa.
Gayunpaman, habang gumagana ang app gaya ng ina-advertise, ang script ay lihim na nagpapatakbo ng serye ng mga obfuscated, malisyosong PowerShell script upang mag-install ng trojan at iba pang malware.
Kung mayroong anumang uri ng payo na maaaring kunin mula rito, ang pagkuha ng code para makaalis sa internet ay nangangailangan ng karagdagang pagsisiyasat.
Ang code ng script ay open source, ngunit bago ang sinumang mag-abala na tingnan ang code nito upang makita ang na-obfuscate na code na nag-download ng malware, ang script ay nag-orasan ng daan-daang pag-download. Ngunit dahil gumana ang script gaya ng na-advertise, walang nakapansin na may mali.
Gamit ang halimbawa ng 2020's SolarWinds campaign na naapektuhan ang maraming ahensya ng Gobyerno, si Garret Grajek, CEO ng YouAttest, ay nag-isip na ang mga hacker ay naisip ang pinakamahusay na paraan upang maipasok ang malware sa aming mga computer ay ang kami mismo ang mag-install nito.
"Maging sa pamamagitan ng mga biniling produkto tulad ng SolarWinds o sa pamamagitan ng open source, kung makukuha ng mga hacker ang kanilang code sa 'lehitimong' software, maaari nilang i-save ang pagsisikap at gastos sa pagsasamantala sa mga zero-day hack at paghahanap ng mga kahinaan, " Sinabi ni Grajek sa Lifewire sa pamamagitan ng email.
Nasser Fattah, North America Steering Committee Chair sa Shared Assessments, idinagdag na sa kaso ng Powershell Windows Toolbox, naihatid ng trojan malware ang pangako nito ngunit may nakatagong halaga.
"Ang magandang trojan malware ay isa na nagbibigay ng lahat ng kakayahan at function na ina-advertise nitong ginagawa nito… at higit pa (malware), " sabi ni Fattah sa Lifewire sa pamamagitan ng email.
Itinuro din ni Fattah na ang paggamit ng proyekto ng isang Powershell script ay ang unang senyales na nagpasindak sa kanya."Kailangan nating maging maingat sa pagpapatakbo ng anumang mga script ng Powershell mula sa internet. Ang mga hacker ay mayroon at patuloy na gagamitin ang Powershell upang ipamahagi ang malware," babala ni Fattah.
Sumasang-ayon si Hammond. Ang pag-aaral sa dokumentasyon ng proyekto na ngayon ay kinuha offline ng GitHub, ang mungkahi ng pagsisimula ng command interface na may mga pribilehiyong pang-administratibo, at pagpapatakbo ng linya ng code na kumukuha at nagpapatakbo ng code mula sa Internet, ang siyang nagpasimula ng mga babala para sa kanya..
Nakabahaging Pananagutan
Naniniwala si David Cundiff, punong opisyal ng seguridad ng impormasyon sa Cyvatar, na maraming aral ang matututuhan ng mga tao mula sa software na ito na mukhang normal na may malicious-insides.
"Ang seguridad ay isang ibinahaging responsibilidad tulad ng inilarawan sa sariling diskarte sa seguridad ng GitHub," itinuro ni Cundiff. "Nangangahulugan ito na walang sinumang entity ang dapat umasa nang buo sa isang punto ng pagkabigo sa chain."
Higit pa rito, pinayuhan niya na sinumang magda-download ng code mula sa GitHub ay dapat panatilihing nakapikit ang kanilang mga mata para sa mga senyales ng babala, at idinagdag na ang sitwasyon ay mauulit mismo kung ang mga tao ay magpapatakbo sa ilalim ng pag-aakala na ang lahat ay magiging maayos dahil ang software ay naka-host sa isang pinagkakatiwalaan at kagalang-galang na platform.
"Habang ang Github ay isang kagalang-galang na platform sa pagbabahagi ng code, maaaring ibahagi ng mga user ang anumang tool sa seguridad para sa kabutihan, gayundin sa kasamaan," sang-ayon ni Hammond.
