Des utilisateurs sur GitHub ont découvert qu’un outil permettant d’installer le Google Play Store sur Windows 11 contenait en réalité des scripts malveillants.
L’outil, appelé Powershell Windows Toolbox, a depuis été retiré de GitHub.
Un outil « tout-en-un » séduisant
L’excitation a rapidement laissé place à la déception pour les utilisateurs de Windows 11 lorsqu’il a été révélé que l’ajout d’applications Android passait par l’Amazon App Store, pas assez fourni à leur goût. Plusieurs d’entre eux ont donc tenté de contourner cette limitation et d’installer le Google Play Store sur leur système d’exploitation. Un outil en particulier a retenu l’attention de certains utilisateurs : Powershell Windows Toolbox. Cependant, d’après plusieurs utilisateurs de GitHub qui ont analysé l'outil, celui-ci installait des malwares.
En plus de l’installation de Google Play Store sur Windows 11, l’outil proposait de désinstaller et de supprimer automatiquement les applications préinstallées, d’activer Microsoft Office et Windows, ou encore de désactiver OneDrive et le Microsoft Store. Une proposition alléchante pour plusieurs utilisateurs qui l'ont donc installé.
Un malware bien caché
Pour faire tourner Powershell Windows Toolbox, le développeur appelait les utilisateurs à entrer une commande PowerShell qui récupérait un script à partir d’un Cloudflare worker. C’était ce script qui permettait à Windows Toolbox de réaliser les différentes opérations promises. Mais il contenait également du code obfusqué qui, comme l’ont découvert plusieurs utilisateurs, cachait du code PowerShell. Ce code permettait à l’outil de récupérer des scripts malveillants à partir d’autres Cloudflare workers et à partir de fichiers provenant d’un répertoire GitHub.
Il n’a pas été de possible de déterminer précisément tout ce que Powershell Windows Toolbox cherchait à réaliser sur les ordinateurs de ses victimes, car plusieurs ressources appelées par le malware sont désormais inaccessibles. Toutefois, il a été mis en évidence qu’il créait une extension Chromium qui exécutait un nouveau script au lancement du navigateur. Ce script semblerait avoir pour but principal de générer des revenus pour le développeur. Pour cela, il redirige les victimes vers des liens rémunérés et des sites frauduleux qui promettent des méthodes pour gagner de l’argent facilement, affichent des publicités pour des logiciels et utilisent les notifications de navigateur pour promouvoir des scams.
D’après BleepingComputer, le malware récupérait des informations sur la localisation de la victime, et seuls les utilisateurs aux États-Unis étaient visés. Cependant, si vous avez téléchargé l’outil, il reste nécessaire de vérifier s’il n’a pas créé les tâches planifiées suivantes :
- Microsoft\Windows\AppID\VerifiedCert
- Microsoft\Windows\Application Experience\Maintenance
- Microsoft\Windows\Services\CertPathCheck
- Microsoft\Windows\Services\CertPathw
- Microsoft\Windows\Servicing\ComponentCleanup
- Microsoft\Windows\Servicing\ServiceCleanup
- Microsoft\Windows\Shell\ObjectTask
- Microsoft\Windows\Clip\ServiceCleanup
Il faudra également vérifier la présence du dossier caché C:\systemfile et des fichiers C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa, C:\Windows\security\winver.png et les supprimer. Si vous souhaitez restaurer votre système à partir d’un point de restauration, vérifiez bien que vous n’utilisez pas celui créé automatiquement par Powershell Windows Toolbox lors de sa première utilisation.
Source : BleepingComputer