Ferramenta que traz Google Play ao Windows 11 está cheia de malware

O sonho virou pesadelo com a descoberta de que o Windows 11 ToolBox, um script com diferentes recursos para o sistema operacional e bastante usado para integrar a Google Play à plataforma, também trazia consigo uma série de malwares, extensões e outros elementos maliciosos. A ferramenta foi altamente recomendada durante os primeiros meses deste ano por permitir levar adiante a integração do lançamento da Microsoft com o Android.

• Chrome ganha atualização que corrige falha grave de segurança; atualize já
• Rede de botnets está criando “exército” para ataques de negação de serviço

Agora, a recomendação é inversa, ligada à desinstalação do conjunto de ferramentas e limpeza de diferentes atividades maliciosas realizadas por ele. Entre os ataques revelados por especialistas em segurança pelo GitHub, onde o Windows 11 Toolbox foi publicado, estão a instalação de extensões indesejáveis do Google Chrome, Firefox e outros, com redirecionamento de usuários a sites fraudulentos. É um ataque relativamente simples diante de seu alcance, indicativo de que ele poderia estar em seus estágios iniciais quando foi descoberto.

O principal foco parece ser a indução do acesso a links de afiliação com anúncios, cuja renda vai para o bolso dos criminosos. O redirecionamento acontece a partir de URLs populares, como a oficial do WhatsApp, por exemplo, e a partir de uma extensão adicionada sem autorização a navegadores baseados em Chromium. Notificações também poderiam ser ativadas no browser, levando a contaminações por malware a partir de alertas sobre falsas atualizações ou softwares para baixar.

Por outro lado, o golpe parece também preparar o terreno para algo maior. Enquanto pastas ocultas são criadas no sistema operacional, com cópias dos perfis padrões dos navegadores, a também são criadas diversas tarefas agendadas no Windows 11. Algumas variáveis envolvem também o fechamento de certos aplicativos ou processos, o que poderia ser uma tentativa de fugir da detecção. Outro elemento é o envio de dados de localização do usuário, para limitar os redirecionamentos a vítimas localizadas nos Estados Unidos.

A ferramenta surgiu como uma forma de resolver uma limitação na comemorada integração entre o Windows 11 e o sistema operacional Android, já que, da forma como o subsistema foi lançado pela Microsoft, apenas apps da loja da Amazon poderiam ser baixados. A ideia da ferramenta, agora descoberta fraudulenta, era substituir esse ecossistema pelo do Google Play, ampliando significativamente o rol de softwares disponíveis. Mas a que custo?

Golpe já foi retirado do ar, saiba como se proteger

Como outra maneira de escapar da detecção de softwares de segurança e até monitoramento de especialistas, o Windows 11 Toolbox usava sistemas legítimos para ser disseminado. O kit de ferramentas, que também trazia desinstaladores de bloatware e customizações, estava disponível no GitHub, de onde já foi removido, enquanto servidores do CloudFlare eram usados para comunicação; essa infraestrutura também já foi desativada.

Para descobrir se o PC foi infectado, basta procurar por uma pasta chamada “systemfile”, que fica na raiz do disco rígido onde o Windows 11 está instalado. Caso ela esteja presente, o ideal é apagar o diretório e pesquisar pelas tarefas agendadas criadas de maneira maliciosa, bem como outros arquivos que têm como objetivo ampliar o alcance dos golpes e ficam na pasta Windowssecurity do sistema operacional.

Fonte: Bleeping Computer