Una herramienta que instalaba Play Store en Windows 11 incluía un peligroso malware
Un popular script utilizado para añadir la Google Play Store al subsistema Android de Windows 11 ha infectado a los usuarios con scripts maliciosos, extensiones de Chrome y más malware.
Cuando se lanzó Windows 11 en octubre, Microsoft anunció que permitiría a los usuarios ejecutar apps nativas de Android directamente desde Windows.
Sin embargo, cuando la vista previa de Android para Windows 11 fue lanzada en febrero, muchos se decepcionaron al no poder usar Google Play y estar limitados a la Amazon App Store.
Por aquel entonces, alguien publicó una nueva herramienta llamada Windows Toolbox en GitHub con una serie de características, entre las que se incluía la posibilidad de quitar bloatware de Windows 11, activar Microsoft Office y Windows, e instalar Google Play Store para el subsistema Android.
Una vez que las webs de tecnología descubrieron el script, fue promovido e instalado por muchos usuarios. Sin embargo, Windows Toolbox era en realidad un troyano que ejecutaba una serie de scripts PowerShell ofuscados y maliciosos para instalar un troyano.
Aunque el script de Windows Toolbox realizaba todas las funciones descritas en GitHub, también contenía código PowerShell ofuscado que recuperaba varios scripts de workers de Cloudflare y los utilizaba para ejecutar comandos y descargar archivos en un dispositivo infectado.
Lo que sabemos es que los scripts maliciosos sólo se dirigían a usuarios de Estados Unidos y creaban numerosas tareas programadas
Estas tareas programadas se utilizan para configurar diversas variables, crear otros scripts para ser ejecutados por las tareas, y matar procesos, como chrome.exe, msedge.exe, brave.exe, powershell.exe, pythonw.exe, cdriver.exe y mdriver.exe.
También creó una carpeta oculta c:\systemfile y copió los perfiles predeterminados para Chrome, Edge y Brave en la carpeta.Su comportamiento malicioso extrañamente solo se utiliza para generar ingresos redirigiendo a los usuarios a URLs de afiliados y de referencia.
Cuando los usuarios visitan whatsapp.com, el script los redirige a aleatorias, que contienen estafas para «ganar dinero», estafas de notificaciones del navegador y promociones de software no deseado.
Si estás preocupado por estar infectado, puedes comprobar la existencia de la carpeta C:\systemfile.