Windows 11 に Google Play ストアをインストールするスクリプト、マルウェアを含んでいたことが判明 23
ストーリー by headless
判明 部門より
判明 部門より
Windows 11 の Android アプリ実行環境で Google Play ストアを利用可能にするツールの一つである「Powershell Windows Toolbox」が実行時にマルウェアをインストールしていたことが判明し、GitHub から削除されている
(Bleeping Computer の記事、
On MSFT の記事、
Neowin の記事、
Windows Central の記事)。
Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。
ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。
Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。
ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。
単なる違法ツール (スコア:1)
google playへの対応よりも、
MS Office 365/2019/2016/2013/2010やWindows 11/10/8を買わなくても使える状態にする(アクティベーションする)ためのツールとして有名だったんじゃないのかな。
この手のツールはマルウェア混入していない方が珍しいレベルだから驚くに値しないかな。
Re: (スコア:0)
この手のツールはマルウェア混入していない方が珍しいレベルだから驚くに値しないかな。
見分け方は難読化かな
Githubなりでソース公開しているのに難読化している時点でお察し
ソース難読化は仕込みがある自白と思っていいんじゃないかと
# issueが無いまたは荒れているものも避けた方がいい
Re: (スコア:0)
自分はissue付けてない。プルリクも非表示にできるならしたい。
「自由に使ってね、でも要望は受け付けません。」ってスタンスを取りたい。
Re: (スコア:0)
シェルの難読化はそんなに難しくないけど、マルウェアってどうやって作るんだろ。送るのにJavamail 使うと直ぐバレそう。
Re: (スコア:0)
このツールがHow-To Geek [howtogeek.com]という海外のサイトで取り上げられた際に、難読化コードが含まれているのはおかしくね?と指摘した人はいたようだ。なお、UserAgentに応じてダウンロードするペイロードが変わっていたらしい。普通のブラウザでアクセスすると無毒なスクリプトにしか見えないが、ツール経由でダウンロードすると……という偽装がされていると、見抜くのは難しい。
https://twitter.com/psrdrgzDFWTexas/status/1504887462505689089 [twitter.com]
Google Play ストアを ”無許諾で” 利用可能にするツール (スコア:0)
、って理解で合ってますかね?
マルウェア仕込まれても文句言えねー立場じゃないっすか?
知らんけど。
Re: (スコア:0)
そんな感じに見える
Aurora Storeのようなスタイルなら文句なかった?
Re: (スコア:0)
マルウェア仕込まれても文句言えねー立場じゃないっすか?
それ以前に「UNIX開発者のバックドアを思い出せ」で済む話かと
# OSSで難読化な時点でお話にならんし
Re: (スコア:0)
OSSだったの?GitHubからDLできても、OSSかどうかはライセンス見るまで分からないのだが…。
少なくともBleeping Computerの記事には、OpenとかOSSとかは一言も書いてないぞ。
Re: (スコア:0)
OSSを謳ってた。記憶が確かなら。ハッタリだったけど。
Re: (スコア:0)
Githubにあったものは不審なURLから何かを取ってくるというコマンドだけであって、
GitHub上に難読化されたコードが掲載されてたわけじゃないようだぞ。
なにか勘違いしてないか?
よくある (スコア:0)
他ツリーにあるとおり、よくある「githubに置いてあるっぽいけど、本体は全然別のところにあるあやしい」やつ。
本体は*.workers.devにあって、archive.orgが捕捉してるので、手口を後追いしたい俺みたいな奴は見に行くといい
ってことで、workers.devにアカウントつくったぜ! (乗り遅れてた&これが言いたかった
Re: (スコア:0)
入口だけをGithubにして信用させる形なんですかね。
一種の踏み台かしら?
スクリプトの内容を見ずに実行 (スコア:0)
言われるがままcurlでshをダウンロードして中身もろくに見ずに実行とかようやるわ
Re: (スコア:0)
今回の例は、中身見てもわからんかったけどね。
curl使ってたら、実行時と違うものがダウンロードされるわけだし。
Re: (スコア:0)
せやけど他のところから更にダウンロードしてること自体おかしいなって思うやん
実際中身見て不審に思った人 [srad.jp]もいるみたいやし
じゃあバイナリとかDockerイメージ全部検めてから実行するんか言われたら「うっ」ってなるけど……
WSAToolsとは別か (スコア:0)
apkファイルをインストールしやすくするWSATools [wsatools.app](https://github.com/Simizfo/WSATools [github.com])とは別のやつか
私はこのアンドロイドが好きではありませんが (スコア:0)
私はこのアンドロイドが好きではありませんが、Windows11タスクバー [freefonto.con]はとてもいいと言わなければなりません。 素晴らしい記事をありがとう。
Re: (スコア:0)
サイトの宣伝乙
Re: (スコア:0)
お前は何を言ってるんだ?
頭大丈夫か?
Re:またいつものマイクロソフト (スコア:1)
オフライン時に検知率が大幅に低下する Microsoft Defender | スラド IT [it.srad.jp]
これとコメント先を間違えたんじゃね
まあ頭の方も大丈夫ではないだろうな
とりあえずMSを叩けば賛同を得られた時代を忘れられないおじいちゃんのボケが進行するとこうなる