Windows Toolbox installa malware: cos'è e come rimuoverlo subito

Se siete assidui lettori de IlSoftware.it ormai ve ne sarete accorti: non ci piacciono i software “tuttofare” che si propongono di ottimizzare Windows, soprattutto quelli a sorgente chiuso. La nostra idea è che gli utenti possano servirsi di soluzioni semplici, home-made, in cui il codice utilizzato per disattivare funzionalità superflue e velocizzare il sistema operativo è palese.

Un semplice batch, eventualmente personalizzabile secondo le proprie necessità, è già più che sufficiente per velocizzare Windows 11 e ottimizzare il sistema. E in passato abbiamo presentato uno script per ottimizzare Windows 10 interamente basato su PowerShell.

Windows Toolbox è una soluzione che è stata pubblicata per un bel po’ di tempo sulla piattaforma GitHub e che, purtroppo, è stata scaricata anche da tanti utenti italiani per via delle “recensioni” apparse su tanti siti Web.

Adesso rimosso da GitHub, Windows Toolbox permetteva di rimuovere o disattivare molti componenti di Windows e in Windows 11 il software aiutava a installare il Play Store di Google con un singolo clic. La pagina di presentazione di Windows Toolbox è ancora disponibile su Web Archive.
Effettivamente Windows Toolbox, almeno a detta di chi l’ha provato, permetteva di fare ciò che prometteva: peccato che “sotto il cofano” una porzione di codice PowerShell veniva utilizzata per scaricare e installare codice malevolo sul sistema degli utenti.

Gli aggressori hanno innanzi tutto utilizzato la piattaforma Cloudflare Workers che permette agli sviluppatori di creare applicazioni serverless.
Dal momento che si tratta di una soluzione apprezzatissima e universalmente utilizzata, gli aggressori l’hanno sfruttata per destare pochi sospetti e, allo stesso tempo, per modificare dinamicamente il comportamento del loro script.

La parte del codice PowerShell di Windows Toolbox cui abbiamo fatto riferimento usava codice offuscato: in altre parole i comandi e la sintassi di PowerShell non era immediatamente riconoscibile bensì era nascosta per evitare ai più di accorgersi della minaccia. Guardate in quest’immagine come si presentava.

Nonostante Windows Toolbox fosse pubblicato su GitHub ci sono volute settimane prima che qualcuno si accorgesse dello sgradito “uovo di Pasqua” contenuto nell’applicazione: una volta in esecuzione veniva disposta l’installazione di un’estensione malevola per il browser e la conseguente apertura di decine di siti Web associabili ad attacchi phishing, truffe di vario genere e distribuzione di malware.
Visitando il sito di WhatsApp o domini collegati, inoltre, venivano aperte altre pagine Web dannose.

Al momento lo script di Windows Toolbox aggrediva soltanto gli utenti “anglofoni” ma è comunque opportuno rimuovere il programma immediatamente su qualunque sistema lo si fosse installato e utilizzato. Per la rimozione di Windows Toolbox è possibile usare questo script PowerShell che riconosce la presenza dell’infezione e provvede a rimuovre automaticamente tutte le tracce del malware.