You are Here
Το Powershell Windows Toolbox που βοήθησε στην εγκατάσταση του Google Play στα Windows 11 είναι κακόβουλο λογισμικό
Android Aσφάλεια Google Malware Smartphone Εταιρικές Ειδήσεις

Το Powershell Windows Toolbox που βοήθησε στην εγκατάσταση του Google Play στα Windows 11 είναι κακόβουλο λογισμικό

1 min read

Ένα εργαλείο τρίτου κατασκευαστή που χρησιμοποιείται για την εγκατάσταση του Google Play Store, μεταξύ άλλων, βρέθηκε ότι είναι κακόβουλο. Στην πραγματικότητα, ένας από τους αναγνώστες του Neowin +Eli φαίνεται επίσης να έχει πέσει θύμα του εργαλείου καθώς φαίνεται ότι εγκατέστησαν το Play Store με την χρήση αυτής της εφαρμογήσ..

Το εργαλείο που ονομάζεται “Powershell Windows Toolbox” φιλοξενήθηκε στο GitHub και ο χρήστης LinuxUserGD παρατήρησε ότι ο υποκείμενος κώδικας ήταν κρυπτικός και περιείχε κακόβουλα bits. Στη συνέχεια, τέθηκε το ζήτημα για το εργαλείο από τον χρήστη SuchByte. Το Powershell Windows Toolbox έχει αφαιρεθεί από το GitHub.

Εδώ είναι όλα τα πράγματα που ισχυρίστηκε ότι έκανε το εργαλείο:

Powershell Windows Toolbox

Αρχικά, το λογισμικό χρησιμοποιούσε εργαζόμενους στο Cloudflare για να φορτώσει ένα σενάριο. Στην ενότητα Τρόπος χρήσης του εργαλείου, ο προγραμματιστής είχε δώσει οδηγίες στους χρήστες να εκτελέσουν την ακόλουθη εντολή στο CLI:

Powershell Windows Toolbox

Ενώ το φορτωμένο σενάριο έκανε ό,τι αναφέρθηκε, βρέθηκε  και ασαφής κώδικας. Μετά την αποσαφήνιση του, διαπιστώθηκε ότι αυτός ήταν κώδικας PowerShell που φόρτωνε κακόβουλα σενάρια από εργαζόμενους στο Cloudflare και αρχεία από ένα αποθετήριο GitHub του χρήστη alexrybak0444, ο οποίος είναι πιθανότατα ο παράγοντας απειλής ή ένας από αυτούς.  

Windows Toolbox malicious files

Μετά από αυτό, το σενάριο δημιουργεί τελικά μια επέκταση Chromium που θεωρείται ότι είναι το κύριο κακόβουλο στοιχείο αυτής της καμπάνιας κακόβουλου λογισμικού. Το “κέρδος” του κακόβουλου λογισμικού φαίνεται να είναι ορισμένοι σύνδεσμοι ή διευθύνσεις URL που χρησιμοποιούνται για τη δημιουργία εσόδων μέσω θυγατρικών εταιρειών και παραπομπών μέσω της προώθησης κάποιου λογισμικού ή κάποιων σχημάτων δημιουργίας χρημάτων που διανέμονται μέσω μηνυμάτων Facebook και WhatsApp.

Εάν έτυχε να εγκαταστήσετε το Powershell Windows Toolbox στο σύστημά σας, μπορείτε να αφαιρέσετε τα ακόλουθα στοιχεία που δημιουργήθηκαν από το εργαλείο κατά τη διάρκεια της μόλυνσης:

  • Microsoft\Windows\AppID\VerifiedCert
  • Microsoft\Windows\Application Experience\Maintenance
  • Microsoft\Windows\Services\ CertPathCheck
  • Microsoft\Windows\Services\CertPathw
  • Microsoft\Windows\Servicing\ComponentCleanup
  • Microsoft\Windows\Servicing\ServiceCleanup
  • Microsoft\Windows\Shell\ObjectTask
  • Microsoft\Windows\Clip\ServiceCleanup
Share
Facebook Twitter Pinterest Linkedin

Related Posts

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *