Hace poco, hablábamos de Qbot y FFDroider, dos malwares que se escondían detrás de archivos aparentemente benignos. Recientemente, unos usuarios de GitHub han descubierto otro virus informático infiltrado en una aplicación para Windows 11 que se llama ‘Powershell Windows Toolbox’.
Microsoft lanzó hace unos meses una nueva versión de su sistema operativo Windows 11, que prometía ser mucho más seguro que su antecesor. En un principio, esta premisa es cierta, pero eso no impide que los ciberdelincuentes hagan de las suyas para adentrarse en los ordenadores.
Con la llegada de Windows 11, los usuarios podían acceder a un catálogo más extenso de la Play Store de Google para sus ordenadores. Según Bleeping Computer, los piratas informáticos aprovecharon esta ventaja para engañar a sus víctimas.
Los cibercriminales añadieron una herramienta en GitHub que instalaba la tienda en los dispositivos Windows y, además, activaba Microsoft Office y Windows. Aunque Windows Toolbox cumplía con estas funciones, también ejecutaba scripts maliciosos de PowerShell.
“¡No descargue ni use este script! -alertó hace 10 días un usuario de GitHub que se percató del malware que se escondía detrás de la aplicación-. Contiene un código malicioso críptico”.
Según informa Bleeping Computer, el virus informático podía ejecutar comandos y descargar otros archivos en los ordenadores al acceder a Cloudflare Workers. Los expertos afirman que el malware puede crear numerosas tareas programadas en Windows o eliminar algunos procesos como los de los navegadores web.
¿Cómo eliminar la herramienta en su totalidad?
La herramienta crea un directorio llamado ‘c:\systemfile’ donde copiaba los perfiles de Chrome, Edge y Brave e instalaba una extensión en el navegador para comunicarse con Cloudflare Workers. Asimismo, los usuarios que buscaban la url de WhatsApp Web eran redirigidos a páginas webs que en realidad eran estafas.
Por suerte, Bleeping Computer ha explicado cómo se puede borrar la aplicación y asegurarse de que no queda ningún rastro: “Para aquellos que ejecutaron este script en el pasado y les preocupa que puedan estar infectados, pueden verificar la existencia de las tareas programadas anteriormente y la carpeta C:\systemfile”.
“Si están presentes, elimine las tareas asociadas, la carpeta del archivo del sistema y los archivos de Python instalados como C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa y C:\Windows\security\winver.png”, concluyen.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios