Princípios importantes
- Uma ferramenta maliciosa empurrou malware com o objetivo de simplificar a instalação de aplicativos Android no Windows.
- A ferramenta funcionou como anunciado, então não levantou nenhuma bandeira vermelha.
-
Os especialistas sugerem que as pessoas lidem com qualquer software baixado de sites de terceiros com o máximo cuidado.
Só porque o código do software de código aberto está disponível para qualquer um ver, isso não significa que todo mundo dê uma olhada nele.
Aproveitando isso, os hackers cooptaram um script do Windows 11 ToolBox de terceiros para distribuir malware. Na superfície, o aplicativo funciona como anunciado e ajuda a adicionar a Google Play Store ao Windows 11. No entanto, nos bastidores, ele também infectou os computadores em que estava sendo executado com todos os tipos de malware.
"Se há algum tipo de conselho que pode ser tirado disso, é que pegar um código para fugir da internet exige um exame mais minucioso", disse John Hammond, pesquisador de segurança sênior da Huntress, à Lifewire por e-mail.
Ass alto à Luz do Dia
Um dos recursos mais esperados do Windows 11 era a capacidade de executar aplicativos Android diretamente do Windows. No entanto, quando o recurso foi finalmente lançado, as pessoas ficaram restritas a instalar um punhado de aplicativos selecionados da Amazon App Store e não da Google Play Store como as pessoas esperavam.
Houve uma pausa, pois o Windows Subsystem para Android permitia que as pessoas carregassem aplicativos com a ajuda do Android Debug Bridge (adb), essencialmente permitindo a instalação de qualquer aplicativo Android no Windows 11.
Aplicativos logo começaram a aparecer no GitHub, como o Windows Subsystem for Android Toolbox, que simplificou a instalação de qualquer aplicativo Android no Windows 11. Um desses aplicativos chamado Powershell Windows Toolbox também oferecia a capacidade junto com várias outras opções, por exemplo, para remover o inchaço de uma instalação do Windows 11, ajustá-lo para desempenho e muito mais.
No entanto, enquanto o aplicativo funcionava como anunciado, o script estava executando secretamente uma série de scripts PowerShell ofuscados e maliciosos para instalar um trojan e outros malwares.
Se há algum tipo de conselho que pode ser tirado disso, é que pegar código para fugir da internet exige escrutínio extra.
O código do script era de código aberto, mas antes que alguém se desse ao trabalho de olhar seu código para identificar o código ofuscado que baixou o malware, o script registrou centenas de downloads. Mas como o script funcionou como anunciado, ninguém notou que algo estava errado.
Usando o exemplo da campanha SolarWinds de 2020 que infectou várias agências governamentais, Garret Grajek, CEO da YouAttest, opinou que os hackers descobriram que a melhor maneira de colocar malware em nossos computadores é fazer com que nós mesmos o instalemos.
"Seja por meio de produtos adquiridos como SolarWinds ou por meio de código aberto, se os hackers puderem inserir seu código em software 'legítimo', eles poderão economizar o esforço e as despesas de explorar hacks de dia zero e procurar vulnerabilidades, " Grajek disse à Lifewire por e-mail.
Nasser Fattah, presidente do Comitê Gestor da América do Norte em Avaliações Compartilhadas, acrescentou que, no caso do Powershell Windows Toolbox, o malware trojan cumpriu sua promessa, mas teve um custo oculto.
"Um bom malware trojan é aquele que fornece todos os recursos e funções que ele anuncia… e mais (malware), " Fattah disse à Lifewire por e-mail.
Fattah também apontou que o uso de um script Powershell no projeto foi o primeiro sinal que o assustou."Precisamos ser muito cautelosos ao executar qualquer script Powershell da Internet. Os hackers usaram e continuarão usando o Powershell para distribuir malware", alertou Fattah.
Hammond concorda. Examinando a documentação do projeto que agora está offline pelo GitHub, a sugestão de iniciar uma interface de comando com privilégios administrativos e executar uma linha de código que busca e executa código da Internet é o que desencadeou os sinos de aviso para ele.
Responsabilidade Compartilhada
David Cundiff, diretor de segurança da informação da Cyvatar, acredita que há várias lições que as pessoas podem aprender com esse software de aparência normal com interior malicioso.
"Segurança é uma responsabilidade compartilhada conforme descrito na própria abordagem de segurança do GitHub ", apontou Cundiff. "Isso significa que nenhuma entidade deve confiar completamente em um único ponto de falha na cadeia."
Além disso, ele aconselhou que qualquer pessoa que baixe código do GitHub deve manter os olhos abertos para sinais de alerta, acrescentando que a situação se repetirá se as pessoas operarem sob a suposição de que tudo estará em ordem, já que o software está hospedado em uma plataforma confiável e respeitável.
"Embora o Github seja uma plataforma de compartilhamento de código respeitável, os usuários podem compartilhar qualquer ferramenta de segurança para o bem e para o mal ", concordou Hammond.
