Un outil tiers utilisé pour installer le Google Play Store, entre autres, s’est avéré malveillant. En fait, l’un des lecteurs de Neowin + Eli semble également avoir été victime de cet outil, car il semble qu’il ait installé le Play Store en l’utilisant.
Un outil appelé « Powershell Windows Toolbox » était hébergé sur GitHub et l’utilisateur LinuxUserGD a remarqué que le code sous-jacent était crypté et contenait des bits malveillants. Le problème a ensuite été soulevé pour l’outil par usersuchByte. Powershell Windows Toolbox a depuis été supprimé de GitHub.
Voici tout ce que cet outil a revendiqué :
Pour commencer, le logiciel a utilisé des travailleurs Cloudflare pour télécharger un script. Dans la section « Comment utiliser », le développeur a demandé aux utilisateurs d’exécuter la commande suivante dans la CLI :
Bien que le script téléchargé ait fait ce qui a été mentionné, du code obscurci a également été trouvé ici. Après désobscurcissement, il a été découvert qu’il s’agissait de codes PowerShell qui téléchargeaient des scripts malveillants à partir des travailleurs Cloudflare et des fichiers à partir du référentiel GitHub de l’utilisateur alexrybak0444, qui est probablement l’attaquant ou l’un d’entre eux. Ils ont également été signalés et supprimés (version archivée ici ).
Après cela, le script crée finalement l’extension Chromium, qui est considérée comme le principal composant malveillant de cette campagne malveillante. La charge utile des logiciels malveillants semble être certains liens ou URL utilisés pour générer des revenus via des affiliés et des références en faisant la promotion de certains logiciels ou de certains programmes de gains distribués via les messages Facebook et WhatsApp.
S’il vous arrivait d’installer Powershell Windows Toolbox sur votre système, vous pouvez supprimer les composants suivants créés par l’outil lors de l’infection :
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Services\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
Supprimez également le dossier caché « C:\systemfile » créé par le script malveillant lors de l’infection. Et si vous effectuez une restauration du système, assurez-vous d’utiliser un point de restauration qui n’a pas été créé par Powershell Windows Toolbox lui-même, car il ne supprimera pas les logiciels malveillants du système.
À cet égard, si vous souhaitez installer le Google Play Store avec quelque chose qui ne fait pas de mal, consultez ce guide écrit par Taras Buria de Neowin lui-même, mais gardez à l’esprit que Microsoft a mis en avant des besoins vraiment sérieux pour exécuter des applications Android sur Windows 11.
Via : BleepingComputer
Laisser un commentaire