GitHub 上新款惡意軟件曝光，欺騙用戶“能在 Win11 上安裝啟用 Google Play 商店”

IT之家 4 月 18 日消息，微軟去年推出了 Windows 11，最引人注目的新增功能是通過 Amazon AppStore 支持 Android 應(yīng)用程序。用戶可以通過一些努力來側(cè)載應(yīng)用程序，但也有幾種非官方的方式來安裝 Google Play 商店。

據(jù) Bleeping Computer 報(bào)道，近期一款用于安裝 Google Play 商店的第三方工具被發(fā)現(xiàn)是惡意軟件。

這款名為“Powershell Windows Toolbox”的工具托管在 GitHub 上，用戶 LinuxUserGD 注意到底層代碼很神秘，并且包含了惡意代碼。隨后，用戶 SuchByte 為該工具提出了 issue 。Powershell Windows Toolbox 已經(jīng)從 GitHub 上被刪除。

以下是該工具聲稱要做的所有事情：

首先，該軟件使用 Cloudflare workers 加載腳本。在該工具的“如何使用”部分，開發(fā)人員已指示用戶在 CLI 中運(yùn)行以下命令：

在加載的腳本執(zhí)行上述操作時(shí)，此處還發(fā)現(xiàn)了混淆代碼。對(duì)此進(jìn)行去混淆處理后，發(fā)現(xiàn)這些是 PowerShell 代碼，它們從 Cloudflare workers 加載惡意腳本，并從用戶 alexrybak0444 的 GitHub 存儲(chǔ)庫中加載文件，該用戶可能是威脅參與者或其中之一。這些也被報(bào)告和刪除。

在此之后，該腳本最終會(huì)創(chuàng)建一個(gè) Chromium 擴(kuò)展程序，該擴(kuò)展程序被認(rèn)為是該惡意軟件活動(dòng)的主要惡意組件。惡意軟件的有效負(fù)載似乎是某些鏈接或 URL，這些鏈接或 URL 被用于關(guān)聯(lián)公司和推薦通過推廣某些軟件，或通過 Facebook 和 WhatsApp 消息分發(fā)的某些賺錢計(jì)劃來產(chǎn)生收入。

如果你碰巧在系統(tǒng)上安裝了 Powershell Windows Toolbox，則可以刪除該工具在感染期間創(chuàng)建的以下組件：

• Microsoft\Windows\AppID\VerifiedCert

• Microsoft\Windows\Application Experience\Maintenance

• Microsoft\Windows\Services\CertPathCheck

• Microsoft\Windows\Services\CertPathw

• Microsoft\Windows\Servicing\ComponentCleanup

• Microsoft\Windows\Servicing\ServiceCleanup

• Microsoft\Windows\Shell\ObjectTask

• Microsoft\Windows\Clip\ServiceCleanup

同時(shí)刪除惡意腳本在感染期間創(chuàng)建的“C:\systemfile”隱藏文件夾。如果你正在執(zhí)行系統(tǒng)還原，請(qǐng)確保使用不包括 Powershell Windows Toolbox 的還原點(diǎn)，因?yàn)樗粫?huì)從系統(tǒng)中刪除惡意軟件。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。