文/林妍溱 | 2022-04-15發表
多名研究人員發現,GitHub上一個名為Windows Toolbox的工具,標榜可在Windows 11上安裝Google Play Store,其實會在受害裝置植入木馬點擊程式。
有使用者發現,一項看似可在Windows 11上安裝Google Play Store的好工具,其實是在用戶機器上安裝惡意程式的木馬。
由於Windows 11官方工具只能安裝Amazon Appstore 上的Android App,許多人希望找到安裝Google Play Store的工具。也有人曾在GitHub上分享安裝Play Store的檔案及安裝指引。但是這類工具也可能是駭客布下的陷阱。
近日GitHub上有人張貼名為Windows Toolbox的工具,號稱可清除Windows 11的垃圾軟體、啟動Office和Windows,及在Windows 11安裝Google Play Store。不過多名研究人員發現,Windows Toolbox其實是木馬程式,包含混淆過的惡意PowerShell script,一旦安裝到Windows電腦將植入木馬點擊程式,可顯示惡意廣告,也可能安裝其他惡意程式。
這個惡意程式儲存庫包含一些壓縮執行檔、Python程式等檔案,在用戶安裝後,表面上它的確會執行它描述的功能,但它會建立隱藏資料夾(c:\systemfile)以複製Chrome、Edge及Brave的資料。同時它還會從Cloudflare Workers下載惡意PowerShell script,以便下載指令及惡意檔案。Bleeping Computer報導,這招很高明,因為這項服務很少被用來散布惡意程式,不容易被防毒引擎偵測出來。
這個惡意程式還無法被完全破解,不過似乎是鎖定美國用戶。感染特徵包括它會在Windows 建立排程任務以複製檔案、關閉行程,並且在系統檔案資料夾安裝Python程式,檔名可能為C:\Windows\security\pywinvera、C:\Windows\security\pywinveraa及C:\Windows\security\winver.png
圖文來源:iThome https://www.ithome.com.tw/news/150438
