Популярный сценарий Windows 11 ToolBox, используемый для добавления Google Play Store в подсистему Android, тайно от пользователей устанавливал эксплойты на устройства.
Когда Windows 11 была выпущена в октябре, Microsoft объявила, что она позволит пользователям запускать собственные приложения Android непосредственно из Windows.
Эта возможность была интересна многим пользователям, но когда в феврале была выпущена предварительная версия Android для Windows 11, многие были разочарованы тем, что не могут использовать ее с Google Play и вынуждены пользоваться приложениями из Amazon App Store.
Хотя существовали способы использования ADB для загрузки приложений Android, пользователи начали искать методы, позволяющие добавить магазин Google Play в Windows 11.
Примерно в это время кто-то опубликовал на GitHub новый инструмент под названием Windows Toolbox с множеством функций, включая возможность разлочки Windows 11, активации Microsoft Office и Windows, а также установки Google Play Store для подсистемы Android.
Как только поисковики обнаружили этот скрипт, он быстро "разлетелся" по Сети и был установлен многими пользователями.
Однако до этой неделе стало известно, что Windows Toolbox на самом деле является троянцем, который выполняет серию обфусцированных вредоносных сценариев PowerShell для установки трояна-кликера и, возможно, других вредоносных программ на устройства.
Злоупотребление Cloudflare Workers для установки вредоносного ПО
На прошлой неделе многие пользователи поделились неожиданным открытием: сценарий Windows Toolbox был прикрытием для очень умной атаки вредоносного ПО, что привело к заражению, на удивление низкокачественным, вредоносным ПО.
Хотя сценарий Windows Toolbox выполнял все функции, описанные на GitHub, он также содержал обфусцированный код PowerShell, позволяющий Cloudflare Workers отправлять различные команды и загружать вредоносное ПО на зараженное устройство.
Чтобы запустить Windows Toolbox, разработчик предлагал пользователям выполнить следующую команду, которая загружала сценарий PowerShell с точки в Cloudflare Workers, расположенной по адресу http://ps.microsoft-toolbox.workers.dev/.
Использование Cloudflare Workers для размещения вредоносных скриптов было очень хитроумным, так как это позволило злоумышленникам изменять скрипты по мере необходимости и использовать платформу, которая ранее не использовалась для распространения вредоносных программ, поэтому их, скорее всего, будет не так легко обнаружить.
Этот сценарий выглядит так, как будто он делает то, что рекламируется, с функциями деплоя Windows 11, отключения телеметрии, исправления приложения Your Phone, настройки профилей питания и т. д.
Однако на строках 762 и 2 357 сценария имеется обфусцированный код, который, на первый взгляд, не представляет никакой опасности.
Однако после деобфускации он преобразуется в код PowerShell [Stage 1, Stage 2, Stage 3], который загружает вредоносные скрипты из Cloudflare Workers и файлы из репозитория https://github.com/alexrybak0444/ GitHub.
Этот репозиторий содержит множество файлов, включая переименованный дистрибутив Python, исполняемый файл 7Zip, Curl и различные пакетные файлы.
К сожалению, некоторые скрипты, хранящиеся на Cloudflare, требовали отправки специальных заголовков для доступа к ним или просто больше не доступны, что затрудняет точный анализ того, что эта мешанина из PowerShell-сценариев, пакетных файлов и файлов делала на зараженном устройстве.
Известно только то, что вредоносные сценарии были нацелены исключительно на пользователей в США и создавали многочисленные запланированные задачи со следующими именами:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
Эти запланированные задачи используются для настройки различных переменных, создания других скриптов, запускаемых задачами, и уничтожения процессов, таких как chrome.exe, msedge.exe, brave.exe, powershell.exe, python.exe, pythonw.exe, cdriver.exe и mdriver.exe.
Скрипт также создавал скрытую папку c:\systemfile и копировал в нее профили по умолчанию для Chrome, Edge и Brave.
Сценарии PowerShell создавали в этой папке расширение Chromium для выполнения сценария с сайта https://cdn2.alexrybak0555.workers.dev/ при запуске браузера.
Этот скрипт является основным вредоносным компонентом данной атаки, и хотя он загружает информацию о географическом положении жертвы, его вредоносное поведение, как ни странно, используется только для получения дохода путем перенаправления пользователей на партнерские и реферальные URL-адреса.
Когда пользователи посещают whatsapp.com, скрипт перенаправляет их на один из следующих случайных URL-адресов, которые содержат мошеннические предложения "заработать деньги", мошеннические уведомления браузера и рекламу нежелательного программного обеспечения.
https://tei.ai/hacky-file-explorer
https://tei.ai/pubg-for-low-spec-pc
https://tei.ai/get-free-buck
https://tei.ai/win-free-digital-license
https://tei.ai/make-money-online-right-now
https://tei.ai/make-money-online-35-way
https://tei.ai/9qmcSfB
https://tei.ai/GCShsSr
https://tei.ai/wCJ88s
Влияние полезной нагрузки, доставляемой запутанной мешаниной скриптов, настолько незначительно, что кажется, будто чего-то не хватает.
Возможно, так оно и есть, поскольку одна из запланированных задач выполняет код от autobat.alexrybak0444.workers.dev, который может содержать более вредоносное поведение. Однако этот сценарий не был заархивирован и сейчас недоступен.
Для тех, кто запускал этот сценарий в прошлом и обеспокоен тем, что может быть заражен, вы можете проверить наличие вышеуказанных запланированных задач и папки C:\systemfile.
Если они присутствуют, удалите связанные задачи, папку systemfile и файлы Python, установленные как C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa и C:\Windows\security\winver.png.
