Tool Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android diam-diam telah menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan berpotensi malware lainnya.
Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa pengguna bisa menjalankan aplikasi Android asli langsung dari dalam Windows.
Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.
Meskipun ada cara menggunakan ADB untuk sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.
Tak lama, seseorang merilis tools baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk men-debloat (menghapus fitur tdk penting) Windows 11, mengaktifkan Microsoft Office dan Windows, serta memasang Google Play Store untuk subsistem Android.
Setelah situs – situs teknologi menemukan skrip itu, skrip tersebut dengan cepat dipromosikan dan dipasang oleh banyak orang.
Namun, tanpa sepengetahuan semua orang, Windows Toolbox sebenarnya adalah Trojan yang dapat mengeksekusi serangkaian skrip PowerShell berbahaya dan dikaburkan untuk menginstal trojan clicker yang kemungkinan malware lain di perangkat.
Menyalahgunakan Cloudflare untuk Memasang Malware
Selama seminggu terakhir, berbagai pengguna berbagi penemuan bahwa skrip Windows Toolbox adalah kedok serangan malware yang sangat pintar dan menyebabkan infeksi malware yang berkualitas rendah.
Sementara skrip Windows Toolbox melakukan semua fitur yang dijelaskan di GitHub, skrip itu juga berisi kode PowerShell yang dikaburkan dan akan mengambil berbagai skrip dari Cloudflare dengan menggunakannya untuk menjalankan perintah dan mengunduh file pada perangkat yang terinfeksi.
Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah yang memuat skrip PowerShell dari pekerja Cloudflare yang dihosting di http://ps.microsoft-toolbox.workers.dev/.
Penggunaan Cloudflare untuk meng-host skrip berbahaya itu cerdas karena memungkinkan pelaku ancaman untuk memodifikasi skrip sesuai kebutuhan dan menggunakan platform yang belum terlalu banyak digunakan untuk mendistribusikan malware, sehingga kemungkinan akan lebih mudah dideteksi.
Skrip ini sepertinya melakukan apa yang diiklankan, dengan fitur untuk debloat Windows 11, menonaktifkan telemetri, memperbaiki aplikasi smartphone kita, mengatur profil daya, dll.
Namun, pada skrip baris 762 dan 2.357, ada kode yang dikaburkan, tetapi pada tampilan awal, sepertinya tidak menimbulkan risiko apa pun.
Namun, ketika di-deobfuscate, kode tersebut diubah menjadi kode PowerShell [Tahap 1, Tahap 2, Tahap 3] yang memuat skrip berbahaya dari Cloudflare dan file dari https://github.com/alexrybak0444/ repositori GitHub.
Repositori ini berisi banyak file, termasuk distribusi Python yang diubah namanya, 7Zip yang dapat dieksekusi, Curl dan berbagai file batch.
Sayangnya, beberapa skrip yang disimpan di Cloudflare memerlukan header khusus untuk dikirim dan mengaksesnya atau tidak lagi tersedia, sehingga sulit menganalisis secara tepat apa yang dilakukan skrip PowerShell, file batch dan file ini pada perangkat yang terinfeksi.
Saat ini hal yang baru diketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Scheduled Tasks dengan nama berikut:
- Microsoft\Windows\AppID\VerifiedCert
- Microsoft\Windows\Application Experience\Maintenance
- Microsoft\Windows\Services\CertPathCheck
- Microsoft\Windows\Services\CertPathw
- Microsoft\Windows\Servicing\ComponentCleanup
- Microsoft\Windows\Servicing\ServiceCleanup
- Microsoft\Windows\Shell\ObjectTask
- Microsoft\Windows\Clip\ServiceCleanup
Scheduled tasks ini digunakan untuk mengonfigurasi berbagai variabel, membuat skrip lain untuk dijalankan oleh tasks dan mematikan proses, seperti chrome.exe, msedge.exe, bold.exe, powershell.exe, python.exe, pythonw.exe, cdriver.exe dan mdriver.exe.
Dan juga membuat folder tersembunyi c:\systemfile dan menyalin profil default untuk Chrome, Edge dan Brave ke dalam folder.
Skrip PowerShell membuat ekstensi Chromium dalam folder ini untuk menjalankan skrip dari https://cdn2.alexrybak0555.workers.dev/ saat browser dimulai.
Skrip ini tampaknya menjadi komponen berbahaya utama dari serangan ini dan saat mengupload informasi lokasi geografis tentang korban, perilaku jahat anehnya hanya digunakan untuk menghasilkan pendapatan dengan mengarahkan pengguna ke afiliasi dan URL rujukan.
Saat pengguna mengunjungi whatsapp.com, skrip akan mengarahkan mereka ke salah satu URL acak yang berisi penipuan “menghasilkan uang”, penipuan pemberitahuan browser dan promosi software yang tidak diinginkan.
- https://tei.ai/hacky-file-explorer
- https://tei.ai/pubg-for-low-spec-pc
- https://tei.ai/get-free-buck
- https://tei.ai/win-free-digital-license
- https://tei.ai/make-money-online-right-now
- https://tei.ai/make-money-online-35-way
- https://tei.ai/9qmcSfB
- https://tei.ai/GCSHsSr
- https://tei.ai/wCJ88s
Dampak dari payload yang disampaikan oleh hit skrip yang berbelit-belit sangat kecil sehingga hampir terasa seperti ada sesuatu yang hilang.
Ini mungkin terjadi karena salah satu scheduled tasks mengeksekusi kode dari autobat.alexrybak0444.workers.dev yang sepertinya berisi lebih banyak perilaku jahat.
Namun, skrip ini tidak diarsipkan dan tidak tersedia.
Bagi mereka yang menjalankan skrip ini sebelumnya, mungkin khawatir jika mereka terinfeksi, kita dapat memeriksa keberadaan scheduled tasks di atas dan folder C:\systemfile.
Jika ada, hapus tasks terkait, folder file sistem dan file Python yang diinstal sebagai C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa dan C:\Windows\security\winver.png.
Malware berupa fileless seperti ini, perlu dideteksi dan di-block dengan Fileless Attack Protection dari Bitdefender, memberikan tingkat perlindungan tambahan terhadap malware dinamis seperti serangan berbasis skrip.
- Opsi Command-Line Scanner, mampu mendeteksi fileless attack pada tahap pra-eksekusi.
- Opsi Antimalware Scan Interface Security Provider, kita dapat memindai konten (skrip, file, URL, dll.) dan dikirim oleh layanan lain yang memerlukan vendor keamanan untuk menganalisisnya sebelum mengakses, menjalankan atau menulisnya ke disk.
Recent Comments