Złośliwe okazało się narzędzie innej firmy wykorzystywane do instalacji między innymi Sklepu Google Play. W rzeczywistości jeden z czytelników Neowin + Eli również padł ofiarą tego narzędzia, ponieważ wygląda na to, że zainstalował Sklep Play za jego pomocą.
Narzędzie o nazwie „Powershell Windows Toolbox” było hostowane na GitHub, a użytkownik LinuxUserGD zauważył, że kod bazowy był zaszyfrowany i zawierał złośliwe bity. Problem został następnie podniesiony dla narzędzia przez usersuchByte. Powershell Windows Toolbox został od tego czasu usunięty z GitHub.
Oto wszystko, co twierdziło to narzędzie:
Na początek oprogramowanie wykorzystywało pracowników Cloudflare do przesłania skryptu. W sekcji „Jak używać” programista polecił użytkownikom uruchomienie następującego polecenia w CLI:
Chociaż pobrany skrypt zrobił to, o czym wspomniano, tutaj również znaleziono zaciemniony kod. Po odszyfrowaniu okazało się, że były to kody PowerShell, które pobierały złośliwe skrypty od pracowników Cloudflare oraz pliki z repozytorium GitHub użytkownika alexrybak0444, który prawdopodobnie jest atakującym lub jednym z nich. Zostały również zgłoszone i usunięte (wersja archiwalna tutaj ).
Następnie skrypt ostatecznie tworzy rozszerzenie Chromium, które jest uważane za główny złośliwy składnik tej złośliwej kampanii. Wygląda na to, że ładunek złośliwego oprogramowania to pewne linki lub adresy URL wykorzystywane do generowania dochodu za pośrednictwem podmiotów stowarzyszonych i skierowań poprzez promowanie oprogramowania lub schematów zarobkowych rozpowszechnianych za pośrednictwem wiadomości Facebook i WhatsApp.
Jeśli zdarzyło Ci się zainstalować Powershell Windows Toolbox w swoim systemie, możesz usunąć następujące komponenty utworzone przez narzędzie podczas infekcji:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Doświadczenie aplikacji\Konserwacja
Microsoft\Windows\Usługi\CertPathCheck
Microsoft\Windows\Usługi\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Usługi\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
Usuń także ukryty folder „C:\systemfile” utworzony przez złośliwy skrypt podczas infekcji. A jeśli wykonujesz przywracanie systemu, pamiętaj, aby użyć punktu przywracania, który nie został utworzony przez sam Powershell Windows Toolbox, ponieważ nie usunie on złośliwego oprogramowania z systemu.
W związku z tym, jeśli chcesz zainstalować Sklep Google Play z czymś, co nie zaszkodzi, zapoznaj się z tym przewodnikiem napisanym przez samego Tarasa Burię z Neowin, ale pamiętaj, że Microsoft przedstawił naprawdę poważne potrzeby dotyczące uruchamiania aplikacji Android na Windows 11.
Przez: BleepingComputer
Dodaj komentarz