Windows 11 の Android アプリ実行環境で Google Play ストアを利用可能にするツールの一つである「Powershell Windows Toolbox」が実行時にマルウェアをインストールしていたことが判明し、GitHub から削除されている
(Bleeping Computer の記事、
On MSFT の記事、
Neowin の記事、
Windows Central の記事)。
Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。
ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:Windowssecurity」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。
| セキュリティ
| Windows
| Android
|
関連ストーリー:
新デザインのメモ帳やメディアプレイヤー、非 Insider の Windows 11 にも提供開始
2022年02月18日
偽の「Get Windows 11」サイトでマルウェアキャンペーン
2022年02月13日
Windows 10 / 11 の月間アクティブデバイスは 14 億台、PC の新しい時代は来たのか
2022年01月29日
Windows 11 の Android アプリサポート、米国の Windows Insider Beta チャネルでテスト開始
2021年10月22日
Windows Subsystem for Linuxをターゲットにしたマルウェア
2021年09月20日
Windows Subsystem for Android、Microsoft Store に登場
2021年09月06日
不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向
2020年01月30日
Source: スラッシュドット
