Key Takeaways
- Ein schädliches Tool schob Malware unter dem Vorwand, die Installation von Android-Apps in Windows zu vereinfachen.
- Das Tool funktionierte wie beworben, es gab also keine Warnsignale.
-
Experten empfehlen, mit Software, die von Websites Dritter heruntergeladen wird, äußerst vorsichtig umzugehen.
Nur weil der Code der Open-Source-Software für jeden sichtbar ist, bedeutet das nicht, dass jeder einen Blick darauf wirft.
Hacker nutzten dies aus und kooptierten ein Windows 11 ToolBox-Skript eines Drittanbieters, um Malware zu verbreiten. An der Oberfläche funktioniert die App wie beworben und hilft dabei, den Google Play Store zu Windows 11 hinzuzufügen. Hinter den Kulissen infizierte sie jedoch auch die Computer, auf denen sie ausgeführt wurde, mit allerlei Malware.
"Wenn es irgendeinen Ratschlag gibt, der daraus abgeleitet werden kann, dann dieser, dass das Ergreifen von Code, um das Internet zu verlassen, eine zusätzliche Prüfung erfordert", sagte John Hammond, Senior Security Researcher bei Huntress, Lifewire per E-Mail.
Raub bei Tageslicht
Eine der am meisten erwarteten Funktionen von Windows 11 war die Möglichkeit, Android-Apps direkt in Windows auszuführen. Als die Funktion jedoch endlich veröffentlicht wurde, waren die Leute darauf beschränkt, eine Handvoll kuratierter Apps aus dem Amazon App Store und nicht aus dem Google Play Store zu installieren, wie die Leute gehofft hatten.
Es gab eine gewisse Atempause, seit das Windows-Subsystem für Android es Benutzern ermöglichte, Apps mit Hilfe von Android Debug Bridge (adb) von der Seite zu laden, was im Wesentlichen die Installation jeder Android-App in Windows 11 ermöglichte.
Apps tauchten bald auf GitHub auf, wie z. B. das Windows-Subsystem für Android Toolbox, das die Installation jeder Android-App in Windows 11 vereinfachte. Eine solche App namens Powershell Windows Toolbox bot neben mehreren anderen Optionen auch die Möglichkeit, um beispielsweise Bloat aus einer Windows 11-Installation zu entfernen, die Leistung zu optimieren und vieles mehr.
Während die App jedoch wie angekündigt funktionierte, führte das Skript heimlich eine Reihe verschleierter, bösartiger PowerShell-Skripte aus, um einen Trojaner und andere Malware zu installieren.
Wenn es irgendeinen Ratschlag gibt, der daraus abgeleitet werden könnte, dann dieser, dass das Grabben von Code, um das Internet zu verlassen, eine zusätzliche Prüfung erfordert.
Der Code des Skripts war Open Source, aber bevor sich jemand die Mühe machte, sich den Code anzusehen, um den verschleierten Code zu entdecken, der die Malware heruntergeladen hatte, hatte das Skript Hunderte von Downloads hinter sich. Aber da das Skript wie angekündigt funktionierte, bemerkte niemand, dass etwas nicht stimmte.
Am Beispiel der SolarWinds-Kampagne von 2020, die mehrere Regierungsbehörden infizierte, meinte Garret Grajek, CEO von YouAttest, dass Hacker herausgefunden haben, dass Malware am besten auf unsere Computer gelangt, wenn wir sie selbst installieren.
"Sei es durch gekaufte Produkte wie SolarWinds oder durch Open Source, wenn die Hacker ihren Code in 'legitime' Software bringen können, können sie sich den Aufwand und die Kosten für die Ausnutzung von Zero-Day-Hacks und die Suche nach Schwachstellen ersparen, " Grajek teilte es Lifewire per E-Mail mit.
Nasser Fattah, Vorsitzender des nordamerikanischen Lenkungsausschusses bei Shared Assessments, fügte hinzu, dass im Fall der Powershell Windows Toolbox die Trojaner-Malware ihr Versprechen geh alten, aber versteckte Kosten verursacht habe.
"Gute Trojaner-Malware ist eine, die alle Fähigkeiten und Funktionen bietet, für die sie wirbt … plus mehr (Malware)," sagte Fattah Lifewire per E-Mail.
Fattah wies auch darauf hin, dass die Verwendung eines Powershell-Skripts in dem Projekt das erste Anzeichen war, das ihn erschreckte.„Wir müssen sehr vorsichtig sein, Powershell-Skripte aus dem Internet auszuführen. Hacker haben und werden Powershell weiterhin nutzen, um Malware zu verbreiten“, warnte Fattah.
Hammond stimmt zu. Beim Durchlesen der Dokumentation des Projekts, das jetzt von GitHub offline genommen wurde, war der Vorschlag, eine Befehlsschnittstelle mit Administratorrechten zu starten und eine Codezeile auszuführen, die Code aus dem Internet holt und ausführt, die Alarmglocken für ihn losgegangen.
Geteilte Verantwortung
David Cundiff, Chief Information Security Officer bei Cyvatar, glaubt, dass Menschen aus dieser normal aussehenden Software mit bösartigen Inh alten mehrere Lektionen lernen können.
"Sicherheit ist eine gemeinsame Verantwortung, wie im eigenen Sicherheitsansatz von GitHub beschrieben", betonte Cundiff. "Das bedeutet, dass sich keine Einheit vollständig auf einen einzelnen Fehlerpunkt in der Kette verlassen sollte."
Darüber hinaus riet er, dass jeder, der Code von GitHub herunterlädt, nach Warnzeichen Ausschau h alten sollte, und fügte hinzu, dass sich die Situation wiederholen werde, wenn die Leute davon ausgehen, dass alles in Ordnung ist, da die Software gehostet wird eine vertrauenswürdige und seriöse Plattform.
"Während Github eine seriöse Code-Sharing-Plattform ist, können Benutzer alle Sicherheitstools für Gutes und Böses teilen", stimmte Hammond zu.