Sta circolando in rete un malware che sfrutta l’installazione del Play Store su Windows 11 per attirare nuove vittime
Windows 11 ha inaugurato un’era di grandi cambiamenti all’interno del sistema operativo per PC di Microsoft, in quanto ha reso più preponderante le dinamiche mobile e permesso quindi ai convertibili 2-in-1 Windows di poter essere utilizzati meglio a mo’ di tablet. Frutto di questo cambiamento è la possibilità di installare app Android su Windows 11 tramite lo store Amazon e quindi sfruttare gli applicativi del “robottino verde” all’interno di un ambiente tipicamente desktop. 
La notizia è stata accolta con favore da moltissimi utenti e questo ha indirettamente attratto anche gli hacker di turno, che hanno pensato bene di utilizzare tale feature come “cavallo di Troia” per installare virus sui PC dei malcapitati utenti. Infatti, esistono su Internet dei modi non ufficiali per installare il Play Store su Windows, alcune delle quali però di dubbia provenienza e soprattutto poco sicure.
È quindi importante quindi prestare attenzione a quale strumento si utilizza, in quanto uno di questi nasconde in realtà un trojan e installa di nascosto alcuni componenti per rivelare i dati sensibili dell’utente. Il programma in questione è Windows Toolbox, scoperto in anteprima dal “solito” Bleeping Computer, che ne ha anche svelato il meccanismo di funzionamento.
Come funziona Windows Toolbox, il trojan che indirizza l’utente verso siti scam
In buona sostanza, questo trojan non soltanto installa il Play Store, esegue il debloat di Windows 11 e offre l’accesso a diverse funzionalità, ma avvia in modo indisturbato alcuni script di PowerShell sul dispositivo dell’utente e soprattutto crea una cartella nascosta (c:\systemfile) dentro alla quale vengono inseriti i profili predefiniti dei browser più famosi sull’attuale scena di Internet, ossia Chrome, Edge e Brave. L’utilizzo di questi programmi non è casuale, in quanto va a braccetto con un’estensione Chromium malevola che gli hacker hanno progettato all’uopo al fine di indirizzare l’utente verso URL scam, nella maggior parte dei casi associati a truffe, giochi e altre app di dubbia provenienza.
Lo scenario che si viene a creare è quindi il seguente: l’utente sta visitando un determinato sito Internet e viene indirizzato in automatico – tramite appunto link di affiliazione – verso altre piattaforme. Ma non solo, perché questa estensione permetterà al criminale di avere accesso a varie informazioni, come ad esempio la posizione dell’utente e le notifiche ricevute.
Prestate attenzione quindi a questi programmi di dubbia legittimità e prediligete piuttosto i canali ufficiali. Controllate inoltre la presenza della directory c:\systemfile e nell’eventualità cancellatela subito.