新木馬程式偽裝成可在Windows 11安裝Google Play Store的工具

有使用者發現，一項看似可在Windows 11上安裝Google Play Store的好工具，其實是在用戶機器上安裝惡意程式的木馬。

由於Windows 11官方工具只能安裝Amazon Appstore 上的Android App，許多人希望找到安裝Google Play Store的工具。也有人曾在GitHub上分享安裝Play Store的檔案及安裝指引。但是這類工具也可能是駭客布下的陷阱。

近日GitHub上有人張貼名為Windows Toolbox的工具，號稱可清除Windows 11的垃圾軟體、啟動Office和Windows，及在Windows 11安裝Google Play Store。不過多名研究人員發現，Windows Toolbox其實是木馬程式，包含混淆過的惡意PowerShell script，一旦安裝到Windows電腦將植入木馬點擊程式，可顯示惡意廣告，也可能安裝其他惡意程式。

這個惡意程式儲存庫包含一些壓縮執行檔、Python程式等檔案，在用戶安裝後，表面上它的確會執行它描述的功能，但它會建立隱藏資料夾（c:\systemfile）以複製Chrome、Edge及Brave的資料。同時它還會從Cloudflare Workers下載惡意PowerShell script，以便下載指令及惡意檔案。Bleeping Computer報導，這招很高明，因為這項服務很少被用來散布惡意程式，不容易被防毒引擎偵測出來。

這個惡意程式還無法被完全破解，不過似乎是鎖定美國用戶。感染特徵包括它會在Windows 建立排程任務以複製檔案、關閉行程，並且在系統檔案資料夾安裝Python程式，檔名可能為C:\Windows\security\pywinvera、C:\Windows\security\pywinveraa及C:\Windows\security\winver.png。