Key Takeaways
- Alat jahat mendorong malware dengan kedok menyederhanakan pemasangan aplikasi Android di Windows.
- Alat ini berfungsi seperti yang diiklankan, jadi tidak menimbulkan tanda bahaya.
-
Para ahli menyarankan agar orang menangani perangkat lunak apa pun yang diunduh dari situs pihak ketiga dengan sangat hati-hati.
Hanya karena kode perangkat lunak open source tersedia untuk dilihat siapa saja, bukan berarti semua orang melihatnya.
Mengambil keuntungan dari ini, peretas mengkooptasi skrip Windows 11 ToolBox pihak ketiga untuk mendistribusikan malware. Di permukaan, aplikasi ini berfungsi seperti yang diiklankan dan membantu menambahkan Google Play Store ke Windows 11. Namun, di balik layar, itu juga menginfeksi komputer yang dijalankannya dengan semua jenis malware.
"Jika ada saran yang bisa diambil dari ini, adalah bahwa mengambil kode untuk kabur dari internet membutuhkan pengawasan ekstra," John Hammond, Peneliti Keamanan Senior di Huntress, mengatakan kepada Lifewire melalui email.
Perampokan Siang Hari
Salah satu fitur Windows 11 yang paling ditunggu-tunggu adalah kemampuannya untuk menjalankan aplikasi Android langsung dari dalam Windows. Namun, ketika fitur tersebut akhirnya dirilis, orang-orang dibatasi untuk menginstal beberapa aplikasi pilihan dari Amazon App Store dan bukan dari Google Play Store seperti yang diharapkan.
Ada beberapa jeda karena Subsistem Windows untuk Android memungkinkan orang untuk melakukan sideload aplikasi dengan bantuan Android Debug Bridge (adb), pada dasarnya memungkinkan pemasangan aplikasi Android apa pun di Windows 11.
Aplikasi segera mulai muncul di GitHub, seperti Subsistem Windows untuk Android Toolbox, yang menyederhanakan pemasangan aplikasi Android apa pun di Windows 11. Salah satu aplikasi yang disebut Powershell Windows Toolbox juga menawarkan kemampuan bersama dengan beberapa opsi lainnya, misalnya, untuk menghapus bloat dari instalasi Windows 11, tweak untuk kinerja, dan banyak lagi.
Namun, saat aplikasi bekerja seperti yang diiklankan, skrip diam-diam menjalankan serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan dan malware lainnya.
Jika ada saran yang bisa diambil dari ini, adalah mengambil kode untuk kabur dari internet membutuhkan pengawasan ekstra.
Kode skrip adalah open source, tetapi sebelum ada orang yang repot-repot melihat kodenya untuk menemukan kode yang dikaburkan yang mengunduh malware, skrip telah mencatat ratusan unduhan. Tapi karena skripnya berfungsi seperti yang diiklankan, tidak ada yang menyadari ada yang tidak beres.
Menggunakan contoh kampanye SolarWinds tahun 2020 yang menginfeksi beberapa instansi Pemerintah, Garret Grajek, CEO YouAttest, berpendapat bahwa peretas telah menemukan cara terbaik untuk memasukkan malware ke komputer kita adalah dengan meminta kita menginstalnya sendiri.
"Baik itu melalui produk yang dibeli seperti SolarWinds atau melalui open source, jika peretas dapat memasukkan kode mereka ke dalam perangkat lunak 'sah', mereka dapat menghemat upaya dan biaya untuk mengeksploitasi peretasan zero-day dan mencari kerentanan, " Grajek memberi tahu Lifewire melalui email.
Nasser Fattah, Ketua Komite Pengarah Amerika Utara di Shared Assessments, menambahkan bahwa dalam kasus Powershell Windows Toolbox, malware trojan memenuhi janjinya tetapi memiliki biaya tersembunyi.
"Malware trojan yang baik adalah malware yang menyediakan semua kemampuan dan fungsi yang diiklankan… plus lebih banyak lagi (malware)," kata Fattah kepada Lifewire melalui email.
Fattah juga menunjukkan bahwa penggunaan proyek skrip Powershell adalah tanda pertama yang membuatnya takut."Kita harus sangat berhati-hati dalam menjalankan skrip Powershell dari internet. Peretas telah dan akan terus memanfaatkan Powershell untuk menyebarkan malware," Fattah memperingatkan.
Hammond setuju. Membaca dengan teliti dokumentasi proyek yang sekarang telah diambil offline oleh GitHub, saran untuk memulai antarmuka perintah dengan hak administratif, dan menjalankan baris kode yang mengambil dan menjalankan kode dari Internet, itulah yang memicu bel peringatan baginya.
Tanggung Jawab Bersama
David Cundiff, kepala petugas keamanan informasi di Cyvatar, percaya bahwa ada beberapa pelajaran yang dapat dipelajari orang dari perangkat lunak yang tampak normal-dengan-berbahaya ini.
"Keamanan adalah tanggung jawab bersama seperti yang dijelaskan pada pendekatan keamanan GitHub sendiri," kata Cundiff. "Ini berarti bahwa tidak ada entitas yang harus bergantung sepenuhnya pada satu titik kegagalan dalam rantai."
Selanjutnya, ia menyarankan bahwa siapa pun yang mengunduh kode dari GitHub harus waspada terhadap tanda-tanda peringatan, menambahkan bahwa situasi akan berulang jika orang beroperasi dengan asumsi bahwa semuanya akan beres karena perangkat lunak di-host di platform tepercaya dan bereputasi baik.
"Sementara Github adalah platform berbagi kode yang memiliki reputasi baik, pengguna dapat berbagi alat keamanan apa pun untuk kebaikan, dan juga kejahatan," Hammond menyetujui.