Google Play Store'u Android Subsystem'e eklemek için kullanılan popüler bir Windows 11 Araç Kutusu komut dosyası, kötü amaçlı komut dosyaları, krom uzantıları ve potansiyel olarak diğer kötü amaçlı yazılımlara sahip gizlice enfekte kullanıcılara sahiptir.
Windows 11 Ekim ayında serbest bırakıldığında, Microsoft, kullanıcıların yerel Android uygulamalarını doğrudan Windows içinden çalıştırmalarına izin vereceğini açıkladı.
Bu özellik birçok kullanıcı için heyecan vericiydi, ancak Windows 11 önizlemesi'nin Android'in Şubat ayında piyasaya sürüldüğünde, çoğu, Google Play ile kullanamadıkları ve Amazon App Store'dan uygulamalarla sıkışıp kaldıkları için hayal kırıklığına uğradı.
Android uygulamalarını sideload için ADB'yi kullanmanın yolları olsa da, kullanıcılar Google Play Store'u Windows 11'e eklemelerine izin veren yöntemler aramaya başladı.
O zamanlar, birisi, Windows 11'i düşürme, Microsoft Office ve Windows'u etkinleştirme, Microsoft Office ve Windows'u etkinleştirme ve Android Subsystem için Google Play Store'u yüklemek de dahil olmak üzere bir dizi özelliğe sahip Windows Toolbox adlı yeni bir araç yayınladı.
Teknik siteler komut dosyasını keşfettikten sonra, hızla tanıtıldı ve birçok kişi tarafından kuruldu.
Bununla birlikte, bu haftaya kadar herkese haberlenmeyen, Windows Araç Kutusu aslında bir dizi şaşkın, kötü niyetli PowerShell scriptini yapan bir trojan idi.
Geçtiğimiz hafta, çeşitli kullanıcılar, Windows Toolbox komut dosyasının çok zeki bir kötü amaçlı yazılım saldırısı için bir ön olduğunu ve şaşırtıcı derecede düşük kaliteli bir kötü amaçlı yazılım bulaşmasına yol açtığı keşifleri paylaştı.
Windows Toolbox komut dosyası, GitHub'da açıklanan tüm özellikleri gerçekleştirirken, CloudFlare çalışanlarından çeşitli komut dosyalarını alacak ve bunları enfekte olmuş bir cihazda dosyaları indirmek için kullanan şaşırttı PowerShell kodunu içeriyordu.
Geliştirici, Windows Toolbox'ı çalıştırmak için, kullanıcıların http://ps.microsoft-toolbox.workers.dev/ adresinde barındırılan bir CloudFlare işçisinden bir PowerShell komut dosyasını yükleyen aşağıdaki komutu çalıştırmalarını söyledi.
Cloudflare çalışanlarının kötü niyetli sözcüklere ev sahipliği yapması, tehdit aktörlerinin gerektiği gibi değiştirmelerine ve kötü amaçlı yazılımları dağıtmak için aşırı bir şekilde kullanılmayan bir platform kullanmasına izin verdiği için akıllı aktörlerin kullanımı, muhtemelen daha az kolayca tespit edilecektir.
Bu komut dosyası, reklamı yapılan, Windows 11, telemetri devre dışı bırakma, telefon uygulamasını düzelt, güç profilleri, vb.
Bununla birlikte, komut dosyasının 762 ve 2,357 satırlarında, şaşkın kod var, ancak ilk bakışta, herhangi bir risk oluşturabileceği gibi görünmüyor.
Bununla birlikte, deoxfuscated, Cloudflare çalışanlarından ve dosyalardan https://github.com/alexrybak0444/ Github deposundan kötü amaçlı komut dosyalarını yükleyen PowerShell koduna (Aşama 1, Aşama 2, Aşama 3] dönüştürür.
Bu depo, yeniden adlandırılmış bir Python dağılımı, 7ZIP çalıştırılabilir, curl ve çeşitli toplu iş dosyaları dahil olmak üzere çok sayıda dosya içerir.
Ne yazık ki, CloudFlare'da depolanan bazı komut dosyaları, bunlara erişmek için gönderilecek özel başlıkları gerektiriyordu ya da artık mevcut değil, bu PowerShell komut dosyalarının, toplu iş dosyalarını ve dosyaların bu karmaşasını enfekte olmayı tam olarak analiz etmeyi zorlaştırıyor.
Bildiğimiz şey, kötü amaçlı komut dosyalarının yalnızca ABD'deki kullanıcıları hedef alması ve aşağıdaki adlarla sayısız zamanlanmış görevi yaratmasıdır:
Bu zamanlanmış görevler, çeşitli değişkenleri yapılandırmak için kullanılır, görevler tarafından çalıştırılacak diğer komut dosyaları oluşturun ve Chrome.exe, Msge.exe, Brave.exe, PowerShell.exe, Python.exe, Pythonw.exe gibi işlemleri öldürmek için kullanılır. cdriver.exe ve mdriver.exe.
Ayrıca gizli bir C: \ SystemFile klasörü oluşturdu ve krom, kenar ve cesur için varsayılan profilleri kopyaladı.
PowerShell komut dosyaları, https://cdn2.alexrybak0555.workers.dev/ adresindeki bir komut dosyasını yürütmek için bu klasörde bir krom uzantısı oluşturdu. Tarayıcı başlatıldığında.
Bu komut dosyası bu saldırının ana kötü amaçlı bir bileşeni gibi görünmektedir ve mağdurla ilgili coğrafi konum bilgisini yüklerken, kötü niyetli davranışları garip bir şekilde yalnızca kullanıcıları bağlı kuruluş ve yönlendirme URL'lerine yönlendirerek gelir elde etmek için kullanılır.
Kullanıcılar Whatsapp.com'u ziyaret ettiğinde, komut dosyası onları "Para Kazanmak" Dolandırıcılar, Tarayıcı Bildirimleri dolandırıcılığı ve istenmeyen yazılımın tanıtımlarını içeren aşağıdaki rastgele URL'lerden birine yönlendirir.
Hits Convoluted Scripts'in karmaşası ile karşılaşılan yükün etkisi çok küçük, neredeyse bir şey eksik olduğunu hissediyor.
Bu, zamanlanmış görevlerden biri, Autobat.Alexrybak0444.workers.dev'den birinin daha kötü niyetli davranış içerebileceği durumlarda geçerli olabilir. Ancak, bu senaryo arşivlenmemiş ve kullanılamıyor.
Geçmişte bu komut dosyasını alan ve endişelendirenler için, yukarıda belirtilen görevlerin ve C: \ SystemFile klasörünün varlığını kontrol edebilirsiniz.
Bunlar varsa, ilişkili görevleri, sistem dosyası klasörünü ve C: \ Windows \ Security \ Pywinvera, C: \ Windows \ Security \ Pywinvera ve C: \ Windows \ Security \ Winver.png olarak yüklenen Python dosyalarını silin.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Microsoft, Global Çalıştırma'da Zloader Malware'i bozar
Windows 11 KB5012592 Güncellemesi, varsayılan tarayıcı iyileştirmelerini sağlar
Microsoft: Yeni Malware, zamanlanmış görevleri gizlemek için Windows hatasını kullanıyor
Microsoft: Windows 11 görev çubuğunu taşıma, bir daha asla bir seçenek olmayabilir
Kaynak: Bleeping Computer