Una de las características que más dio de qué hablar con la llegada de Windows 11 era la posibilidad de instalar apps de Android en el sistema. En Genbeta hemos hablado en varias ocasiones de cómo hacerlo, pudiendo incluso instalar la Play Store de Google para un catálogo más extenso.
Entre los métodos para instalar la tienda, hubo uno que surgió hace unos meses en GitHub: Windows Toolbox. Esta herramienta tenía como funciones quitar el bloatware de Windows 11, activar Office y Windows, e incluso instalar la Google Play Store para el Subsistema de Android. Sin embargo, entre todas esas funciones también había malware escondido.
Windows Toolbox era en realidad un troyano que ejecutaba código malicioso
La herramienta se hizo tremendamente popular, pero no ha sido hasta hace unos días cuando unos usuarios en GitHub pudieron descubrir el código malicioso que se incluye en ella. Al parecer, Windows Toolbox era un troyano que ejecutaba scripts maliciosos de PowerShell. Este código se comunicaba con Cloudflare Workers para ejecutar comandos y descargar archivos en los equipos.
Utilizar Cloudflare Workers para modificar el código que incluía la herramienta fue un movimiento astuto, ya que además se distribuía a través de GitHub, lo que la hacía más difícil de detectar. Windows Toolbox hace lo que dice, pero al desencriptar algunas líneas de su código se ha podido descubrir la verdadera intención de la herramienta.
Algunos scripts de Cloudflare Workers son inaccesibles, pero analizando con más detenimiento la herramienta, se pudo descubrir que creaba numerosas tareas programadas en Windows, las cuales configuraban algunas variables del sistema, o eliminaban otros procesos como los de navegadores Chrome, Edge o Brave.
Cómo eliminar la herramienta de nuestro equipo
La herramienta también creaba un directorio llamado 'c:\systemfile' y copiaba los perfiles de Chrome, Edge y Brave en esa carpeta. Además, la herramienta instalaba una extensión en el navegador que ejecutaba un script para comunicarse con el CDN de Cloudflare Workers. Junto a ello, cuando los usuarios accedían a WhatsApp Web, les redireccionaba a URLs de estafa para 'hacer dinero' y otras webs similares.
Si has utilizado alguna vez la herramienta y temes que hayas sido infectado, deberías ver si se ha creado la carpeta en 'c:\systemfile' y si se han creado procesos como los que Bleeping Computer menciona en su artículo. Si es así, elimina los procesos y la carpeta, así como los archivos de Python generados 'C:\Windows\security\pywinvera', 'C:\Windows\security\pywinveraa', y C:\Windows\security\winver.png.
Fuente: Genbeta