Clau per emportar
- Una eina maliciosa va impulsar programari maliciós amb l'aparença de simplificar la instal·lació d'aplicacions d'Android a Windows.
- L'eina va funcionar tal com s'anunciava, de manera que no va provocar cap senyal d'alarma.
-
Els experts suggereixen que les persones gestionen qualsevol programari baixat de llocs de tercers amb la màxima cura.
Només perquè el codi del programari de codi obert està disponible per a tothom, no vol dir que tothom hi faci una ullada.
Aprofitant això, els pirates informàtics van optar per un script de Windows 11 ToolBox de tercers per distribuir programari maliciós. A primera vista, l'aplicació funciona tal com s'anunciava i ajuda a afegir Google Play Store a Windows 11. Tanmateix, entre bastidors, també va infectar els ordinadors on s'executaven amb tot tipus de programari maliciós.
"Si hi ha algun tipus de consell que es podria treure d'això, és que agafar codi per executar-se d'Internet requereix un escrutini addicional", va dir John Hammond, investigador sènior de seguretat de Huntress, a Lifewire per correu electrònic.
Robatori a la llum del dia
Una de les funcions més esperades de Windows 11 era la seva capacitat per executar aplicacions d'Android directament des de Windows. Tanmateix, quan finalment es va llançar la funció, la gent es va limitar a instal·lar un bon grapat d'aplicacions seleccionades de l'Amazon App Store i no de la Google Play Store, com la gent esperava.
Hi va haver una mica de respir, ja que el subsistema de Windows per a Android permetia a la gent carregar aplicacions amb l'ajuda d'Android Debug Bridge (adb), en essència permetent la instal·lació de qualsevol aplicació d'Android a Windows 11.
Aviat van començar a aparèixer Aplicacions a GitHub, com ara el subsistema de Windows per a la caixa d'eines d'Android, que va simplificar la instal·lació de qualsevol aplicació d'Android a Windows 11. Una d'aquestes aplicacions anomenada Powershell Windows Toolbox també va oferir aquesta possibilitat juntament amb altres opcions., per exemple, per eliminar la inflor d'una instal·lació de Windows 11, ajustar-lo per al rendiment i molt més.
No obstant això, mentre l'aplicació funcionava tal com s'anunciava, l'script executava en secret una sèrie d'scripts de PowerShell ofuscats i maliciosos per instal·lar un troià i un altre programari maliciós.
Si hi ha algun tipus de consell que es podria prendre d'això, és que agafar codi per executar-se d'Internet requereix un escrutini addicional.
El codi de l'script era de codi obert, però abans que ningú es molestés a mirar el seu codi per detectar el codi ofuscat que baixava el programari maliciós, l'script havia registrat centenars de descàrregues. Però com que el guió funcionava tal com s'anunciava, ningú no es va adonar que alguna cosa no anava bé.
Fent servir l'exemple de la campanya SolarWinds del 2020 que va infectar diverses agències governamentals, Garret Grajek, director general de YouAttest, va opinar que els pirates informàtics han descobert que la millor manera d'introduir programari maliciós als nostres ordinadors és que l'instal·lem nos altres mateixos.
"Ja sigui a través de productes comprats com SolarWinds o a través de codi obert, si els pirates informàtics poden introduir el seu codi en programari "legítim", poden estalviar l'esforç i la despesa d'explotar pirates de dia zero i buscar vulnerabilitats". Grajek va dir a Lifewire per correu electrònic.
Nasser Fattah, president del comitè de direcció d'Amèrica del Nord a Shared Assessments, va afegir que, en el cas de Powershell Windows Toolbox, el programari maliciós troià va complir la seva promesa, però tenia un cost ocult..
"El bon programari maliciós troià és aquell que ofereix totes les capacitats i funcions que anuncia… i més (programari maliciós"), va dir Fattah a Lifewire per correu electrònic.
Fattah també va assenyalar que l'ús del projecte d'un script Powershell va ser el primer signe que el va espantar."Hem de ser molt prudents a l'hora d'executar qualsevol script de Powershell des d'Internet. Els pirates informàtics han aprofitat i seguiran aprofitant Powershell per distribuir programari maliciós", va advertir Fattah.
Hammond està d'acord. Llegint la documentació del projecte que GitHub ha fet fora de línia, el suggeriment d'iniciar una interfície d'ordres amb privilegis administratius i executar una línia de codi que obté i executa codi d'Internet, és el que va fer que les campanes d'alerta.
Responsabilitat compartida
David Cundiff, responsable de seguretat de la informació de Cyvatar, creu que la gent pot aprendre diverses lliçons d'aquest programari d'aspecte normal i maliciós.
"La seguretat és una responsabilitat compartida tal com es descriu a l'enfocament de seguretat de GitHub", va assenyalar Cundiff. "Això significa que cap entitat no hauria de confiar completament en un únic punt de fallada de la cadena."
A més, va aconsellar que qualsevol persona que descarregui codi de GitHub hauria de mantenir els ulls ben oberts per detectar senyals d'advertència, i va afegir que la situació es repetirà si la gent opera sota el supòsit que tot estarà en ordre ja que el programari està allotjat a una plataforma fiable i de bona reputació.
"Tot i que Github és una plataforma per compartir codi de bona reputació, els usuaris poden compartir qualsevol eina de seguretat tant per al bé com per al mal", va acceptar Hammond.
