Outil Windows 11 Pour Ajouter Google Play Secrètement Installé Malware

Logiciel malveillant Windows 11

Un script populaire Windows 11 ToolBox utilisé pour ajouter le Google Play Store au sous-système Android a secrètement infecté les utilisateurs avec des scripts malveillants, des extensions Chrome et potentiellement d’autres logiciels malveillants.

Quand Windows 11 a été publié En octobre, Microsoft an annoncé qu’il permettrait aux utilisateurs d’exécuter des applications Android natives directement à partir de Windows.

Cette fonctionnalité était passionnante pour de nombreux utilisateurs, mais lorsque le Android pour Windows 11 preview a été publié en février, beaucoup ont été déçus de ne pas pouvoir l’utiliser avec Google é Play et etéc onc é Store .

Bien qu’il y ait eu des façons d’utiliser ADB pour charger des applications Android, les utilisateurs ont commencé à chercher des méthodes qui leur permettent d’ajouter le Google Play Store à Windows 11.

À cette époque, quelqu’un a publié un nouvel outil appelé Boîte à outils Windows sur GitHub avec une foule de fonctionnalités, y compris la possibilité de dégonfler Windows 11, d’activer Microsoft Office pour’et Windowsle et Google Play d sous-système Android.

Windows Toolbox sur GitHub
Windows Toolbox sur GitHub

Une fois que les sites technologiques ont découvert le script, il a été rapidement promu et installé par beaucoup.

Cependant, à l’insu de tout le monde jusqu’à cette semaine, la boîte à outils Windows était en fait un cheval de Troie qui exécutait une série de scripts PowerShell obscurcis et malveillants pour installer un cliqueurie de et che autres logiciels malveillants sur les appareils.

Utilization abusive des travailleurs de Cloudflare pour installer des logiciels malveillants

Au cours de la dernière semaine, divers utilisateurs partagé la découverte que le script Windows Toolbox était une façade pour une attaque de logiciels malveillants très intelligente, conduisant à unetonnam infection de logiciels malveiseillitéuantsé.

Bien que le script Windows Toolbox ait exécuté toutes les fonctionnalités décrites sur GitHub, il contenait égallement du code PowerShell obscurci qui récupérait divers scripts des travailleurs Cloudflare et les utilisait desé desé pour fierséefecteré unchargeré app.

Pour exécuter Windows Toolbox, le développeur a demandé aux utilisateurs d’exécuter la commande suivante, qui a chargé un script PowerShell à partir d’un travailleur Cloudflare hébergé à http://ps.microsoft-toolbox.workers/.

Instructions GitHub d'origine pour lancer le script
Instructions GitHub d’origine pour lancer le script

L’utilisation de Cloudflare Workers pour héberger les scripts malveillants était intelligente, car elle permettait aux acteurs de la menace de modifier les scripts au besoin et d’utiliser une plate-forme qui n’a pas été trop utiliséeil pours distributive de sorte qu’il sera probablement moins facilement détecté.

Ce script semble faire ce qui est annoncé, avec des fonctionnalités pour dégonfler Windows 11, désactiver la télémétrie, réparer l’application Votre téléphone, configurer les profils d’alimentation, etc.

Cependant, sur les lignes 762 et 2 357 du script, il ya du code obscurci, mais à première vue, il ne semble pas que cela puisse poser un risque.

PowerShell obscurci
PowerShell obscurci

Toutefois, lorsqu’il est désobfusqué, il se convertit en code PowerShell [Stage 1, Stage 2, Stage 3] qui charge les scripts malveillants des travailleurs Cloudflare et les fichiers du https://github.com/alexrybak0444/ Référentiel GitHub.

Auteurs de menaces Référentiel GitHub
Auteurs de menaces Référentiel GitHub

Ce référentiel contient de nombreux fichiers, y compris une distribution Python renommée, un exécutable 7Zip, Curl et divers fichiers batch.

Malheureusement, certain scripts stockés sur Cloudflare nécessitaient l’envoi d’en-têtes spéciaux pour y accéder ou ne sont tout simplement plus disponibles, ce qui rend difficile l’analyse précise de ce que ce désordll de scripts batches de fisordre fichiers a fait sur un appareil infecté.

Envoi d'en-têtes spéciaux aux travailleurs Cloudflare
Envoi d’en-têtes spéciaux aux travailleurs Cloudflare

Ce que nous savons, c’est que les scripts malveillants ne ciblaient que les utilisateurs aux États-Unis et créaient de nombreuses tâches planifiées portant les noms suivants:

MicrosoftWindowsAppIDVerifiedCert
MicrosoftWindowsApplication ExperienceMaintenance
MicrosoftWindowsServicesCertPathCheck
MicrosoftWindowsServicesCertPathw
MicrosoftWindowsServicingComponentCleanup
MicrosoftWindowsServicingServiceCleanup
MicrosoftWindowsShellObjectTask
MicrosoftWindowsClipServiceCleanup

Ces tâches planifiées sont utilisées pour configurer diverses variables, créer d’autres scripts à exécuter par les tâches et tuer des processus, tels que chrome.exe, msedge.exe, brave.exe, powershell.exe, python.exe, pythonw , cdriver.exe et mdriver.exe.

Il a egallement crée un c:systemfile dossier et copié les profils par défaut pour Chrome, Edge et Brave dans le dossier.

Les scripts PowerShell ont créé une extension Chromium dans ce dossier pour exécuter un script à partir de https://cdn2.alexrybak0555.workers.dev/ au démarrage du navigateur.

IèmeEst script semble être le principal composant malveillant de cette attaque, et bien qu’il télécharge des informations de localisation géographique sur la victime, son comportement malveillant n’est étrangement utilisé que pour générer des iraff iges les url red enutilisé et de référence.

Lorsque les utilisateurs visitent whatsapp.com, le script les redirige vers l’une des URL aléatoires suivantes, qui contiennent des escroqueries “gagner de l’argent”, des escroqueries de notifications de navigateur et des promotions de logiciels indésirables.

https://tei.ai/hacky-file-explorer
https://tei.ai/pubg-for-low-spec-pc
https://tei.ai/get-free-buck
https://tei.ai/win-free-digital-license
https://tei.ai/make-money-online-right-now
https://tei.ai/make-money-online-35-way
https://tei.ai/9qmcSfB
https://tei.ai/GCShsSr
https://tei.ai/wCJ88s

L’impact de la charge utile livrée par les hits alambiqués désordre de scripts est si mineur qu’on a presque l’impression qu’il manque quelque chose.

Cela peut être le cas, car l’une des tâches planifiées exécute du code à partir de autobat.alexrybak0444.workers.dev, qui peut contenir un comportement plus malveillant. Toutefois, ce script n’a pas été archivé et n’est pas disponible.

Pour ceux qui ont exécuté ce script dans le passé et qui craignent d’être infectés, vous pouvez vérifier l’existence des tâches planifiées ci-dessus et du dossier C:systemfile.

Si elles sont présentes, supprimez les tâches associées, le dossier systemfile et les fichiers Python installés en tant que C:Windowssecuritypywinvera, C:Windowssecuritypywinveraa et C:Windowssecuritywinver.png.

Leave a Comment