Una herramienta llamada «Powershell Windows Toolbox» estaba alojada en GitHub y el usuario LinuxUserGD notó que el código subyacente estaba encriptado y contenía bits maliciosos. Luego, usersuchByte planteó el problema para la herramienta. Desde entonces, Powershell Windows Toolbox se eliminó de GitHub.
Aquí está todo lo que reclama esta herramienta:
Para empezar, el software utilizó trabajadores de Cloudflare para cargar un script. En la sección «Cómo usar», el desarrollador indicó a los usuarios que ejecutaran el siguiente comando en la CLI:
Si bien el script descargado hizo lo que se mencionó, aquí también se encontró un código ofuscado. Después de la desofuscación, se descubrió que se trataba de códigos de PowerShell que descargaban scripts maliciosos de los trabajadores de Cloudflare y archivos del repositorio de GitHub del usuario alexrybak0444, que probablemente sea el atacante o uno de ellos. También fueron denunciados y eliminados (versión archivada aquí ).
Después de eso, el script finalmente crea la extensión Chromium, que se considera el principal componente malicioso de esta campaña maliciosa. La carga útil del malware parece ser ciertos enlaces o URL utilizados para generar ingresos a través de afiliados y referencias mediante la promoción de algún software o algunos esquemas de ganancias distribuidos a través de mensajes de Facebook y WhatsApp.
Si instaló Powershell Windows Toolbox en su sistema, puede eliminar los siguientes componentes creados por la herramienta durante la infección:
- Microsoft\Windows\AppID\VerifiedCert
- Microsoft\Windows\Experiencia de la aplicación\Mantenimiento
- Microsoft\Windows\Servicios\CertPathCheck
- Microsoft\Windows\Servicios\CertPathw
- Microsoft\Windows\Servicio\ComponentCleanup
- Microsoft\Windows\Servicios\ServiceCleanup
- Microsoft\Windows\Shell\ObjectTask
- Microsoft\Windows\Clip\Servicio de limpieza
También elimine la carpeta oculta “C:\systemfile” creada por el script malicioso durante la infección. Y en caso de que esté realizando una restauración del sistema, asegúrese de usar un punto de restauración que no haya sido creado por la caja de herramientas de Powershell Windows, ya que no eliminará el malware del sistema.
En este sentido, si quieres instalar Google Play Store con algo que no perjudique, echa un vistazo a esta guía escrita por el propio Taras Buria de Neowin, pero ten en cuenta que Microsoft ha planteado algunas necesidades realmente serias para ejecutar aplicaciones Android en Windows. 11
Vía: BleepingComputer
Deja una respuesta