Bài học rút ra chính
- Một công cụ độc hại đã đẩy phần mềm độc hại dưới chiêu bài đơn giản hóa việc cài đặt các ứng dụng Android trong Windows.
- Công cụ đã hoạt động như quảng cáo, vì vậy nó không gây ra bất kỳ dấu hiệu đỏ nào.
-
Các chuyên gia khuyên mọi người nên xử lý mọi phần mềm được tải xuống từ các trang web của bên thứ ba một cách cẩn thận nhất.
Chỉ vì mã của phần mềm nguồn mở có sẵn cho mọi người xem, không có nghĩa là mọi người đều xem qua.
Lợi dụng điều này, tin tặc đã chọn một tập lệnh Windows 11 ToolBox của bên thứ ba để phát tán phần mềm độc hại. Bề ngoài, ứng dụng hoạt động như được quảng cáo và giúp thêm Cửa hàng Google Play vào Windows 11. Tuy nhiên, đằng sau ứng dụng này cũng đã lây nhiễm tất cả các loại phần mềm độc hại cho các máy tính đang chạy trên đó.
"Nếu có bất kỳ lời khuyên nào có thể được rút ra từ điều này, đó là việc lấy mã để chạy trên internet đòi hỏi phải được kiểm tra kỹ lưỡng hơn", John Hammond, Nhà nghiên cứu bảo mật cao cấp tại Huntress, nói với Lifewire qua email.
Cướp ban ngày
Một trong những tính năng được mong đợi nhất của Windows 11 là khả năng chạy các ứng dụng Android trực tiếp từ bên trong Windows. Tuy nhiên, khi tính năng này cuối cùng được phát hành, mọi người đã bị hạn chế cài đặt một số ứng dụng được quản lý từ Amazon App Store chứ không phải Google Play Store như mọi người đã hy vọng.
Có một số thời gian nghỉ ngơi kể từ khi Hệ thống con Windows dành cho Android cho phép mọi người tải ứng dụng với sự trợ giúp của Cầu gỡ lỗi Android (adb), về bản chất là cho phép cài đặt bất kỳ ứng dụng Android nào trong Windows 11.
Các ứng dụng sớm bắt đầu xuất hiện trên GitHub, chẳng hạn như Hệ thống con Windows dành cho Hộp công cụ Android, giúp đơn giản hóa việc cài đặt bất kỳ ứng dụng Android nào trong Windows 11. Một ứng dụng như vậy được gọi là Hộp công cụ Windows Powershell cũng cung cấp khả năng cùng với một số tùy chọn khác, chẳng hạn, để loại bỏ bloat khỏi cài đặt Windows 11, hãy chỉnh sửa nó cho hiệu suất và hơn thế nữa.
Tuy nhiên, trong khi ứng dụng hoạt động như quảng cáo, tập lệnh đã bí mật chạy một loạt tập lệnh PowerShell độc hại, khó hiểu để cài đặt trojan và phần mềm độc hại khác.
Nếu có bất kỳ lời khuyên nào có thể được rút ra từ điều này, đó là việc lấy mã để chạy trên internet cần phải được kiểm tra kỹ lưỡng hơn.
Mã của tập lệnh là mã nguồn mở, nhưng trước khi bất kỳ ai bận tâm nhìn vào mã của nó để phát hiện ra mã khó hiểu đã tải xuống phần mềm độc hại, thì tập lệnh đã đạt tốc độ hàng trăm lượt tải xuống. Nhưng vì kịch bản hoạt động như quảng cáo, nên không ai nhận thấy điều gì đó không ổn.
Sử dụng ví dụ về chiến dịch SolarWinds năm 2020 đã lây nhiễm cho nhiều cơ quan Chính phủ, Garret Grajek, Giám đốc điều hành của YouAttest, cho rằng tin tặc đã tìm ra cách tốt nhất để đưa phần mềm độc hại vào máy tính của chúng tôi là để chúng tôi tự cài đặt nó.
"Có thể là thông qua các sản phẩm đã mua như SolarWinds hoặc thông qua mã nguồn mở, nếu tin tặc có thể đưa mã của họ vào phần mềm 'hợp pháp', họ có thể tiết kiệm công sức và chi phí khai thác các bản hack zero-day và tìm kiếm lỗ hổng bảo mật". Grajek nói với Lifewire qua email.
Nasser Fattah, Chủ tịch Ủy ban Chỉ đạo Bắc Mỹ tại các Đánh giá được Chia sẻ, nói thêm rằng trong trường hợp của Hộp công cụ Powershell Windows, phần mềm độc hại trojan được thực hiện đúng như lời hứa nhưng có một cái giá phải trả.
"Phần mềm độc hại trojan tốt là phần mềm độc hại cung cấp tất cả các khả năng và chức năng mà nó quảng cáo … cộng với nhiều hơn nữa (phần mềm độc hại)", Fattah nói với Lifewire qua email.
Fattah cũng chỉ ra rằng việc dự án sử dụng kịch bản Powershell là dấu hiệu đầu tiên khiến anh ấy kinh hãi. Fattah cảnh báo: "Chúng tôi cần hết sức thận trọng khi chạy bất kỳ tập lệnh Powershell nào từ internet. Tin tặc đã và sẽ tiếp tục lợi dụng Powershell để phát tán phần mềm độc hại".
Hammond đồng ý. Lướt qua tài liệu của dự án hiện đã được GitHub thực hiện ngoại tuyến, đề xuất bắt đầu giao diện lệnh với các đặc quyền quản trị và chạy một dòng mã tìm nạp và chạy mã từ Internet, là những gì đã gióng lên hồi chuông cảnh báo cho anh ta.
Trách nhiệm chung
David Cundiff, giám đốc an ninh thông tin tại Cyvatar, tin rằng có một số bài học mà mọi người có thể học được từ phần mềm bên trong trông bình thường nhưng không có độc hại này.
"Bảo mật là trách nhiệm chung như được mô tả trong phương pháp bảo mật riêng của GitHub", Cundiff chỉ ra. "Điều này có nghĩa là không một thực thể nào nên dựa hoàn toàn vào một điểm lỗi trong chuỗi."
Hơn nữa, anh ấy khuyên rằng bất kỳ ai tải xuống mã từ GitHub nên để mắt đến các dấu hiệu cảnh báo, đồng thời nói thêm rằng tình huống sẽ lặp lại nếu mọi người hoạt động với giả định rằng mọi thứ sẽ theo thứ tự vì phần mềm được lưu trữ trên một nền tảng đáng tin cậy và uy tín.
"Mặc dù Github là một nền tảng chia sẻ mã uy tín, nhưng người dùng có thể chia sẻ bất kỳ công cụ bảo mật nào vì điều tốt cũng như điều xấu," Hammond đồng ý.
