Un script populaire Windows 11 ToolBox utilisé pour ajouter le Google Play Store au sous-système Android a secrètement infecté les utilisateurs avec des scripts malveillants, des extensions Chrome et potentiellement d’autres logiciels malveillants.
Quand Windows 11 a été publié En octobre, Microsoft a annoncé qu’il permettrait aux utilisateurs d’exécuter des applications Android natives directement à partir de Windows.
Cette fonctionnalité était passionnante pour de nombreux utilisateurs, mais lorsque le Android pour Windows 11 preview a été publié en février, beaucoup ont été déçus de ne pas pouvoir l’utiliser avec Google Play et ont été coincés avec des applications de l’Amazon App Store.
Bien qu’il y ait eu des façons d’utiliser ADB pour charger des applications Android, les utilisateurs ont commencé à chercher des méthodes qui leur permettent d’ajouter le Google Play Store à Windows 11.
À cette époque, quelqu’un a publié un nouvel outil appelé Boîte à outils Windows sur GitHub avec une foule de fonctionnalités, y compris la possibilité de dégonfler Windows 11, d’activer Microsoft Office et Windows et d’installer Google Play Store pour le sous-système Android.
Une fois que les sites technologiques ont découvert le script, il a été rapidement promu et installé par beaucoup.
Cependant, à l’insu de tout le monde jusqu’à cette semaine, la boîte à outils Windows était en fait un cheval de Troie qui exécutait une série de scripts PowerShell obscurcis et malveillants pour installer un cliqueur de cheval de Troie et éventuellement d’autres logiciels malveillants sur les appareils.
Utilisation abusive des travailleurs de Cloudflare pour installer des logiciels malveillants
Au cours de la dernière semaine, divers utilisateurs partagé la découverte que le script Windows Toolbox était une façade pour une attaque de logiciels malveillants très intelligente, conduisant à une infection de logiciels malveillants étonnamment de mauvaise qualité.
Bien que le script Windows Toolbox ait exécuté toutes les fonctionnalités décrites sur GitHub, il contenait également du code PowerShell obscurci qui récupérait divers scripts des travailleurs Cloudflare et les utilisait pour exécuter des commandes et télécharger des fichiers sur un appareil infecté.
Pour exécuter Windows Toolbox, le développeur a demandé aux utilisateurs d’exécuter la commande suivante, qui a chargé un script PowerShell à partir d’un travailleur Cloudflare hébergé à http://ps.microsoft-toolbox.workers.dev/.
L’utilisation de Cloudflare Workers pour héberger les scripts malveillants était intelligente, car elle permettait aux acteurs de la menace de modifier les scripts au besoin et d’utiliser une plate-forme qui n’a pas été trop utilisée pour distribuer des logiciels malveillants, de sorte qu’il sera probablement moins facilement détecté.
Ce script semble faire ce qui est annoncé, avec des fonctionnalités pour dégonfler Windows 11, désactiver la télémétrie, réparer l’application Votre téléphone, configurer les profils d’alimentation, etc.
Cependant, sur les lignes 762 et 2 357 du script, il y a du code obscurci, mais à première vue, il ne semble pas que cela puisse poser un risque.
Toutefois, lorsqu’il est désobfusqué, il se convertit en code PowerShell [Stage 1, Stage 2, Stage 3] qui charge les scripts malveillants des travailleurs Cloudflare et les fichiers du https://github.com/alexrybak0444/ Référentiel GitHub.
Ce référentiel contient de nombreux fichiers, y compris une distribution Python renommée, un exécutable 7Zip, Curl et divers fichiers batch.
Malheureusement, certains scripts stockés sur Cloudflare nécessitaient l’envoi d’en-têtes spéciaux pour y accéder ou ne sont tout simplement plus disponibles, ce qui rend difficile l’analyse précise de ce que ce désordre de scripts PowerShell, de fichiers batch et de fichiers a fait sur un appareil infecté.
Ce que nous savons, c’est que les scripts malveillants ne ciblaient que les utilisateurs aux États-Unis et créaient de nombreuses tâches planifiées portant les noms suivants:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanupCes tâches planifiées sont utilisées pour configurer diverses variables, créer d’autres scripts à exécuter par les tâches et tuer des processus, tels que chrome.exe, msedge.exe, brave.exe, powershell.exe, python.exe, pythonw.exe, cdriver.exe et mdriver.exe.
Il a également créé un c:\systemfile dossier et copié les profils par défaut pour Chrome, Edge et Brave dans le dossier.
Les scripts PowerShell ont créé une extension Chromium dans ce dossier pour exécuter un script à partir de https://cdn2.alexrybak0555.workers.dev/ au démarrage du navigateur.
IèmeEst script semble être le principal composant malveillant de cette attaque, et bien qu’il télécharge des informations de localisation géographique sur la victime, son comportement malveillant n’est étrangement utilisé que pour générer des revenus en redirigeant les utilisateurs vers des URL d’affiliation et de référence.
Lorsque les utilisateurs visitent whatsapp.com, le script les redirige vers l’une des URL aléatoires suivantes, qui contiennent des escroqueries « gagner de l’argent », des escroqueries de notifications de navigateur et des promotions de logiciels indésirables.
https://tei.ai/hacky-file-explorer
https://tei.ai/pubg-for-low-spec-pc
https://tei.ai/get-free-buck
https://tei.ai/win-free-digital-license
https://tei.ai/make-money-online-right-now
https://tei.ai/make-money-online-35-way
https://tei.ai/9qmcSfB
https://tei.ai/GCShsSr
https://tei.ai/wCJ88sL’impact de la charge utile livrée par les hits alambiqués désordre de scripts est si mineur qu’on a presque l’impression qu’il manque quelque chose.
Cela peut être le cas, car l’une des tâches planifiées exécute du code à partir de autobat.alexrybak0444.workers.dev, qui peut contenir un comportement plus malveillant. Toutefois, ce script n’a pas été archivé et n’est pas disponible.
Pour ceux qui ont exécuté ce script dans le passé et qui craignent d’être infectés, vous pouvez vérifier l’existence des tâches planifiées ci-dessus et du dossier C:\systemfile.
Si elles sont présentes, supprimez les tâches associées, le dossier systemfile et les fichiers Python installés en tant que C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa et C:\Windows\security\winver.png.
