Clé à emporter
- Un outil malveillant a diffusé des logiciels malveillants sous prétexte de simplifier l'installation d'applications Android sous Windows.
- L'outil a fonctionné comme annoncé, donc il n'a déclenché aucun signal d'alarme.
-
Les experts suggèrent aux gens de manipuler tout logiciel téléchargé à partir de sites tiers avec le plus grand soin.
Ce n'est pas parce que le code du logiciel open source est accessible à tous que tout le monde y jette un œil.
Profitant de cela, les pirates ont coopté un script Windows 11 ToolBox tiers pour distribuer des logiciels malveillants. En surface, l'application fonctionne comme annoncé et permet d'ajouter le Google Play Store à Windows 11. Cependant, en coulisse, elle a également infecté les ordinateurs sur lesquels elle fonctionnait avec toutes sortes de logiciels malveillants.
"S'il y a un conseil à tirer de cela, c'est que la saisie de code pour exécuter Internet nécessite un examen plus approfondi", a déclaré John Hammond, chercheur principal en sécurité chez Huntress, à Lifewire par e-mail.
Vol à la lumière du jour
L'une des fonctionnalités les plus attendues de Windows 11 était sa capacité à exécuter des applications Android directement depuis Windows. Cependant, lorsque la fonctionnalité a finalement été publiée, les utilisateurs étaient limités à l'installation d'une poignée d'applications sélectionnées à partir de l'Amazon App Store et non du Google Play Store, comme les gens l'avaient espéré.
Il y a eu un certain répit depuis que le sous-système Windows pour Android a permis aux utilisateurs de télécharger des applications à l'aide d'Android Debug Bridge (adb), permettant essentiellement l'installation de n'importe quelle application Android dans Windows 11.
Les applications ont rapidement commencé à apparaître sur GitHub, telles que le sous-système Windows pour Android Toolbox, qui a simplifié l'installation de n'importe quelle application Android dans Windows 11. Une de ces applications appelée Powershell Windows Toolbox offrait également la possibilité ainsi que plusieurs autres options, par exemple, pour supprimer les ballonnements d'une installation de Windows 11, l'ajuster pour les performances, et plus encore.
Cependant, alors que l'application fonctionnait comme annoncé, le script exécutait secrètement une série de scripts PowerShell obfusqués et malveillants pour installer un cheval de Troie et d'autres logiciels malveillants.
S'il y a un conseil à tirer de cela, c'est que saisir du code pour s'exécuter sur Internet nécessite un examen plus approfondi.
Le code du script était open source, mais avant que quiconque ne prenne la peine de regarder son code pour repérer le code obscurci qui téléchargeait le malware, le script avait enregistré des centaines de téléchargements. Mais comme le script fonctionnait comme annoncé, personne n'a remarqué que quelque chose n'allait pas.
En utilisant l'exemple de la campagne SolarWinds de 2020 qui a infecté plusieurs agences gouvernementales, Garret Grajek, PDG de YouAttest, a estimé que les pirates ont compris que le meilleur moyen d'introduire des logiciels malveillants dans nos ordinateurs est de nous faire installer nous-mêmes.
"Que ce soit via des produits achetés comme SolarWinds ou via l'open source, si les pirates peuvent introduire leur code dans un logiciel "légitime", ils peuvent économiser les efforts et les dépenses liés à l'exploitation des hacks zero-day et à la recherche de vulnérabilités", Grajek a déclaré à Lifewire par e-mail.
Nasser Fattah, président du comité directeur pour l'Amérique du Nord chez Shared Assessments, a ajouté que dans le cas de Powershell Windows Toolbox, le logiciel malveillant de cheval de Troie a tenu sa promesse mais avait un coût caché.
"Un bon cheval de Troie est celui qui fournit toutes les capacités et fonctions annoncées… et plus encore (malware), " a déclaré Fattah à Lifewire par e-mail.
Fattah a également souligné que l'utilisation par le projet d'un script Powershell était le premier signe qui l'avait effrayé."Nous devons être très prudents lorsque nous exécutons des scripts Powershell à partir d'Internet. Les pirates ont et continueront d'utiliser Powershell pour distribuer des logiciels malveillants ", a averti Fattah.
Hammond est d'accord. En parcourant la documentation du projet qui a maintenant été mis hors ligne par GitHub, la suggestion de démarrer une interface de commande avec des privilèges administratifs et d'exécuter une ligne de code qui récupère et exécute du code à partir d'Internet, est ce qui lui a déclenché la sonnette d'alarme..
Responsabilité partagée
David Cundiff, responsable de la sécurité de l'information chez Cyvatar, pense qu'il y a plusieurs leçons que les gens peuvent tirer de ce logiciel d'apparence normale avec des intérieurs malveillants.
"La sécurité est une responsabilité partagée telle que décrite dans la propre approche de sécurité de GitHub", a souligné Cundiff. "Cela signifie qu'aucune entité ne doit s'appuyer entièrement sur un seul point de défaillance de la chaîne."
En outre, il a conseillé à toute personne téléchargeant du code à partir de GitHub de garder les yeux ouverts pour détecter les signes avant-coureurs, ajoutant que la situation se répétera si les gens partent du principe que tout sera en ordre puisque le logiciel est hébergé sur une plateforme fiable et réputée.
"Bien que Github soit une plate-forme de partage de code réputée, les utilisateurs peuvent partager n'importe quel outil de sécurité pour le bien comme pour le mal", a convenu Hammond.
