Uno strumento chiamato “Powershell Windows Toolbox” era ospitato su GitHub e l’utente LinuxUserGD ha notato che il codice sottostante era crittografato e conteneva bit dannosi. Il problema è stato quindi sollevato per lo strumento da usersuchByte. Da allora Powershell Windows Toolbox è stato rimosso da GitHub.
Ecco tutto ciò che questo strumento ha affermato:
Per cominciare, il software ha utilizzato i lavoratori di Cloudflare per caricare uno script. Nella sezione “Come utilizzare”, lo sviluppatore ha incaricato gli utenti di eseguire il seguente comando nella CLI:
Mentre lo script scaricato ha fatto ciò che è stato menzionato, qui è stato trovato anche codice offuscato. Dopo la deoffuscamento, si è scoperto che si trattava di codici PowerShell che scaricavano script dannosi da lavoratori Cloudflare e file dal repository GitHub dell’utente alexrybak0444, che è probabilmente l’attaccante o uno di loro. Sono stati anche segnalati e rimossi (versione archiviata qui ).
Successivamente, lo script alla fine crea l’estensione Chromium, che è considerata la principale componente dannosa di questa campagna dannosa. Il payload del malware sembra essere costituito da determinati collegamenti o URL utilizzati per generare entrate tramite affiliati e referral promuovendo alcuni software o alcuni schemi di guadagno distribuiti tramite i messaggi di Facebook e WhatsApp.
Se ti è capitato di installare Powershell Windows Toolbox sul tuo sistema, puoi rimuovere i seguenti componenti creati dallo strumento durante l’infezione:
- Microsoft\Windows\AppID\Certificato verificato
- Microsoft\Windows\Application Experience\Manutenzione
- Microsoft\Windows\Servizi\CertPathCheck
- Microsoft\Windows\Servizi\PercorsoCertw
- Microsoft\Windows\Manutenzione\Pulizia componenti
- Microsoft\Windows\Servizi\ServiceCleanup
- Microsoft\Windows\Shell\ObjectTask
- Microsoft\Windows\Clip\ServiceCleanup
Elimina anche la cartella nascosta “C:\systemfile” creata dallo script dannoso durante l’infezione. E nel caso in cui stai eseguendo un ripristino del sistema, assicurati di utilizzare un punto di ripristino che non è stato creato dalla stessa Casella degli strumenti di Windows Powershell, poiché non rimuoverà il malware dal sistema.
A tal proposito, se vuoi installare il Google Play Store con qualcosa che non nuoce, dai un’occhiata a questa guida scritta dallo stesso Taras Buria di Neowin, ma tieni presente che Microsoft ha avanzato delle esigenze davvero serie per eseguire applicazioni Android su Windows 11.
Tramite: BleepingComputer
Lascia un commento