Site-urile false de suport IT promovează „soluții” malitioase bazate pe PowerShell pentru erorile comune de Windows, precum eroarea 0x80070643, infectând dispozitivele cu malware care fură informații.
Descoperite inițial de Unitatea de Răspuns la Amenințări (TRU) a eSentire, site-urile false de suport sunt promovate prin canale de YouTube compromis și preluate pentru a adăuga legitimitate creatorului de conținut.
Mai exact, actorii amenințării creează videoclipuri false care promovează o soluție pentru eroarea 0x80070643 cu care se confruntă milioane de utilizatori de Windows încă din ianuarie.
În timpul Patch Tuesday din ianuarie 2024, Microsoft a lansat actualizări de securitate pentru a remedia o defecțiune de bypassare a criptării BitLocker, care este urmărită ca CVE-2024-20666.
După instalarea actualizării, utilizatorii de Windows din întreaga lume au raportat primirea erorii ‘0x80070643 – ERROR_INSTALL_FAILURE’ atunci când încercau să instaleze actualizarea, care nu dispărea indiferent cât de tare încercau.
„Au fost unele probleme la instalarea actualizărilor, dar vom încerca din nou mai târziu. Dacă continuați să vedeți acest mesaj și doriți să căutați pe web sau să contactați suportul pentru informații, acest lucru v-ar putea ajuta: (0x80070643),” arată eroarea de actualizare Windows.
S-a dovedit că Windows Update afișează un mesaj de eroare incorect, deoarece ar fi trebuit să afișeze o eroare CBS_E_INSUFFICIENT_DISK_SPACE pe sistemele cu o partiție Windows Recovery Environment (WinRE) prea mică pentru a instala actualizarea.
Microsoft a explicat că noua actualizare de securitate necesită ca partiția WinRE să aibă 250 de megabyte de spațiu liber, iar dacă nu are, trebuie să extindeți manual partiția.
Cu toate acestea, extinderea partiției WinRE este complicată, dacă nu imposibilă, pentru cei al căror WinRE nu este ultima partiție de pe unitate.
Din cauza acestui lucru, mulți nu pot instala actualizarea de securitate și rămân cu mesajul de eroare 0x80070643 de fiecare dată când folosesc Windows Update.
Aceste erori au determinat mulți utilizatori de Windows frustrați să caute o soluție online, permițând actorilor amenințării să profite de căutarea lor pentru o soluție.
Potrivit eSentire, actorii amenințării creează numeroase site-uri false de suport IT special concepute pentru a ajuta utilizatorii cu erori comune de Windows, concentrandu-se puternic pe eroarea 0x80070643.
„În iunie 2024, Unitatea de Răspuns la Amenințări (TRU) a eSentire a observat un caz intrigant care implica o infecție Vidar Stealer inițiată printr-un site fals de suport IT (Figura 1),” explică raportul eSentire.
„Infecția a început când victima a căutat soluții pentru un cod de eroare la actualizarea Windows.”
Cercetătorii au descoperit două site-uri false de suport IT promovate pe YouTube numite pchelprwizzards[.]com și pchelprwizardsguide[.]com. În timp ce scriam acest articol, BleepingComputer a găsit site-uri suplimentare la pchelprwizardpro[.]com, pchelperwizard[.]com și fixedguides[.]com.
Asemenea altor videoclipuri găsite de eSentire pentru site-urile cu greșeli de tastare PCHelperWizard, BleepingComputer a găsit de asemenea videoclipuri YouTube pentru site-ul FixedGuides, promovând, de asemenea, soluții pentru erorile 0x80070643.
Aceste site-uri oferă toate soluții care necesită fie copierea și rularea unui script PowerShell, fie importarea conținutului unui fișier de Registry Windows.
Indiferent de „soluția” utilizată, un script PowerShell va fi executat care descarcă malware pe dispozitiv.
Raportul eSentire descrie cum site-urile PCHelperWizard (nu trebuie confundate cu site-ul cursului legitim) vor ghida utilizatorii să copieze un script PowerShell în Clipboard-ul Windows și să-l execute într-o fereastră PowerShell.
Acest script PowerShell conține un script codat Base64 care se va conecta la un server remote pentru a descărca un alt script PowerShell, care instalează malware-ul de furat informații Vidar pe dispozitiv.
Când scriptul este terminat, va afișa un mesaj că repararea a fost reușită și să reporniți computerul, ceea ce va lansa, de asemenea, malware-ul.
Site-ul FixedGuides o face puțin diferit, folosind un fișier de Registry Windows obfuscat pentru a ascunde pornirile automate care lansează un script PowerShell malitios.
Cu toate acestea, când am extras șirurile din fișierul de mai sus, se poate vedea că conține un fișier de Registry valid care adaugă o intrare de pornire automată Windows (RunOnce) care rulează un script PowerShell. Acest script descarcă și instalează în cele din urmă malware-ul de furat informații pe computer.
Folosirea oricărei soluții false va duce la lansarea malware-ului de furat informații după repornirea Windows-ului. Odată pornit, malware-ul va extrage parolele salvate, cardurile de credit, cookie-urile și istoricul navigării din browserul dvs.
Vidar poate de asemenea să fure portofele de criptomonede, fișiere text și baze de date ale autentificatorului 2FA Authy, precum și să facă capturi de ecran ale desktopului dvs.
Aceste date sunt compilate într-un arhivă numită „log”, care este apoi încărcată pe serverele atacatorului. Datele furate sunt apoi folosite pentru alimentarea altor atacuri, cum ar fi atacurile cu ransomware, sau vândute altor actori amenințări pe piețele dark web.
Cu toate acestea, utilizatorul infectat este acum lăsat cu un coșmar, având toate conturile compromise și suferind potențial fraudă financiară.
În timp ce erorile Windows pot fi enervante, este crucial să descărcați software și remedii doar de pe site-uri de încredere, nu din videoclipuri și site-uri aleatorii cu puțină sau deloc reputație.
Credențialele dvs. au devenit o marfă valoroasă și actorii amenințărilor vin cu metode subtile și creative de a le fura, așa că, din nefericire, toată lumea trebuie să fie vigilentă împotriva metodelor de atac neobișnuite.
În ceea ce privește erorile 0x80070643, dacă nu puteți redimensiona partiția WinRE, cea mai bună soluție este să utilizați instrumentul Show or Hide Tool de la Microsoft pentru a ascunde actualizarea KB5034441 astfel încât Windows Update să nu o ofere pe sistemul dvs. și să nu căutați pe internet o soluție magică.
Automatizați sarcinile Windows cu 58 $ reducere la acest pachet de instruire PowerShell
Raport aspru despre cyberatacul Medibank evidențiază MFA neaplicat
Erorile false Google Chrome vă păcălesc să rulați script-uri PowerShell malitioase
YouTube testează injectarea mai dificil de blocat a reclamelor lansate de server în videoclipuri
Microsoft amână Windows Recall din cauza preocupărilor legate de confidențialitate și securitate
Leave a Reply