4 月 18 日訊息，微軟去年推出了 Windows 11，最引人注目的新增功能是通過 Amazon AppStore 支援 Android 應用程式。使用者可以通過一些努力來側載應用程式，但也有幾種非官方的方式來安裝 Google Play 商店。

據 Bleeping Computer 報道，近期一款用於安裝 Google Play 商店的第三方工具被發現是惡意軟體。

這款名為“Powershell Windows Toolbox”的工具託管在 GitHub 上，使用者 LinuxUserGD 注意到底層程式碼很神祕，並且包含了惡意程式碼。隨後，使用者 SuchByte 為該工具提出了 issue。Powershell Windows Toolbox 已經從 GitHub 上被刪除。

以下是該工具聲稱要做的所有事情：

首先，該軟體使用 Cloudflare workers 載入指令碼。在該工具的“如何使用”部分，開發人員已指示使用者在 CLI 中執行以下命令：

在載入的指令碼執行上述操作時，此處還發現了混淆程式碼。對此進行去混淆處理後，發現這些是 PowerShell 程式碼，它們從 Cloudflare workers 載入惡意指令碼，並從使用者 alexrybak0444 的 GitHub 儲存庫中載入檔案，該使用者可能是威脅參與者或其中之一。這些也被報告和刪除。

在此之後，該指令碼最終會建立一個 Chromium 擴充套件程式，該擴充套件程式被認為是該惡意軟體活動的主要惡意元件。惡意軟體的有效負載似乎是某些連結或 URL，這些連結或 URL 被用於關聯公司和推薦通過推廣某些軟體，或通過 Facebook 和 WhatsApp 訊息分發的某些賺錢計劃來產生收入。

如果你碰巧在系統上安裝了 Powershell Windows Toolbox，則可以刪除該工具在感染期間建立的以下元件：

• Microsoft\Windows\AppID\VerifiedCert

• Microsoft\Windows\Application Experience\Maintenance

• Microsoft\Windows\Services\CertPathCheck

• Microsoft\Windows\Services\CertPathw

• Microsoft\Windows\Servicing\ComponentCleanup

• Microsoft\Windows\Servicing\ServiceCleanup

• Microsoft\Windows\Shell\ObjectTask

• Microsoft\Windows\Clip\ServiceCleanup

同時刪除惡意指令碼在感染期間建立的“C:\systemfile”隱藏資料夾。如果你正在執行系統還原，請確保使用不包括 Powershell Windows Toolbox 的還原點，因為它不會從系統中刪除惡意軟體。