Da asporto chiave
- Uno strumento dannoso ha spinto malware con il pretesto di semplificare l'installazione di app Android in Windows.
- Lo strumento ha funzionato come pubblicizzato, quindi non ha sollevato alcuna bandiera rossa.
-
Gli esperti suggeriscono alle persone di gestire qualsiasi software scaricato da siti di terze parti con la massima cura.
Solo perché il codice del software open source è visibile a chiunque, non significa che tutti gli diano un'occhiata.
Sfruttando questo vantaggio, gli hacker hanno cooptato uno script di Windows 11 ToolBox di terze parti per distribuire malware. In apparenza, l'app funziona come pubblicizzato e aiuta ad aggiungere Google Play Store a Windows 11. Tuttavia, dietro le quinte, ha anche infettato i computer su cui era in esecuzione con tutti i tipi di malware.
"Se c'è qualche tipo di consiglio che si potrebbe trarre da questo, è che afferrare il codice per scappare da Internet richiede un controllo extra", ha detto a Lifewire via e-mail John Hammond, ricercatore senior per la sicurezza presso Huntress.
Rapina alla luce del giorno
Una delle funzionalità più attese di Windows 11 era la sua capacità di eseguire app Android direttamente da Windows. Tuttavia, quando la funzione è stata finalmente rilasciata, le persone sono state limitate all'installazione di una manciata di app curate dall'App Store di Amazon e non dal Google Play Store come sperato.
C'è stata una tregua dal momento che il sottosistema Windows per Android ha consentito alle persone di eseguire il sideload delle app con l'aiuto di Android Debug Bridge (adb), in pratica consentendo l'installazione di qualsiasi app Android in Windows 11.
Le app iniziarono presto a comparire su GitHub, come il sottosistema Windows per Android Toolbox, che semplificava l'installazione di qualsiasi app Android in Windows 11. Una di queste app chiamata Powershell Windows Toolbox offriva anche la possibilità insieme a molte altre opzioni, ad esempio, per rimuovere il rigonfiamento da un'installazione di Windows 11, modificarlo per le prestazioni e altro ancora.
Tuttavia, mentre l'app funzionava come pubblicizzato, lo script eseguiva segretamente una serie di script PowerShell offuscati e dannosi per installare un trojan e altro malware.
Se c'è qualche tipo di consiglio che potrebbe essere tratto da questo, è che afferrare il codice per scappare da Internet richiede un controllo extra.
Il codice dello script era open source, ma prima che qualcuno si prendesse la briga di guardare il suo codice per individuare il codice offuscato che ha scaricato il malware, lo script aveva registrato centinaia di download. Ma dal momento che la sceneggiatura ha funzionato come pubblicizzato, nessuno ha notato che qualcosa non andava.
Utilizzando l'esempio della campagna SolarWinds del 2020 che ha infettato più agenzie governative, Garret Grajek, CEO di YouAttest, ha affermato che gli hacker hanno scoperto che il modo migliore per far entrare malware nei nostri computer è farlo installare noi stessi.
"Sia attraverso prodotti acquistati come SolarWinds o tramite open source, se gli hacker riescono a inserire il loro codice in un software 'legittimo', possono risparmiare lo sforzo e la spesa per sfruttare hack zero-day e cercare vulnerabilità, " Grajek ha detto a Lifewire via e-mail.
Nasser Fattah, presidente del comitato direttivo per il Nord America presso Shared Assessments, ha aggiunto che nel caso di Powershell Windows Toolbox, il malware trojan ha mantenuto le promesse ma ha avuto un costo nascosto.
"Un buon malware trojan è quello che fornisce tutte le capacità e le funzioni che pubblicizza… più altro (malware)," ha detto Fattah a Lifewire via e-mail.
Fattah ha anche sottolineato che l'uso da parte del progetto di uno script Powershell è stato il primo segno che lo ha spaventato."Dobbiamo essere molto cauti nell'esecuzione di qualsiasi script Powershell da Internet. Gli hacker hanno e continueranno a sfruttare Powershell per distribuire malware", ha avvertito Fattah.
Hammond è d'accordo. Sfogliando la documentazione del progetto che ora è stato messo offline da GitHub, il suggerimento di avviare un'interfaccia di comando con privilegi di amministratore ed eseguire una riga di codice che recupera ed esegue codice da Internet, è ciò che ha fatto scattare i campanelli di avvertimento per lui.
Responsabilità condivisa
David Cundiff, Chief Information Security Officer di Cyvatar, crede che ci siano diverse lezioni che le persone possono imparare da questo software dall'aspetto normale e dall'interno dannoso.
"La sicurezza è una responsabilità condivisa come descritto nell'approccio alla sicurezza di GitHub", ha sottolineato Cundiff. "Ciò significa che nessuna entità dovrebbe fare affidamento completamente su un singolo punto di errore nella catena."
Inoltre, ha consigliato a chiunque scarichi codice da GitHub di tenere gli occhi aperti per i segnali di avvertimento, aggiungendo che la situazione si ripeterà se le persone operano partendo dal presupposto che tutto sarà in ordine poiché il software è ospitato su una piattaforma affidabile e rispettabile.
"Sebbene Github sia una rispettabile piattaforma di condivisione del codice, gli utenti possono condividere qualsiasi strumento di sicurezza per il bene, oltre che per il male", ha concordato Hammond.
