Οι ψεύτικοι ιστότοποι υποστήριξης IT προ
ω
θούν κακόβουλες “διορθώσεις” του PowerShell για κοινά σφάλματα των Windows, όπως το σφάλμα 0x80070643, για να μολύνουν συσκευές με κακόβουλο λογισμικό που κλέβει πληροφορίες.
Οι ψεύτικοι ιστότοποι υποστήριξης που ανακαλύφθηκαν για πρώτη φορά από τη μονάδα αντιμετώπισης απειλών (TRU) του eSentire προωθούνται μέσω καναλιών YouTube που έχουν παραβιαστεί και παραβιαστεί για να προστεθεί νομιμότητα στον δημιουργό περιεχομένου.
Συγκεκριμένα, οι φορείς απειλών δημιουργούν ψεύτικα βίντεο που προωθούν μια επιδιόρθωση για το σφάλμα 0x80070643 με το οποίο αντιμετωπίζουν εκατομμύρια χρήστες των Windows από τον Ιανουάριο.
Κατά την Τρίτη του Ιανουαρίου 2024, η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει ένα ελάττωμα παράκαμψης κρυπτογράφησης BitLocker, το οποίο παρακολουθείται ως
CVE-2024-20666
.
Μετά την εγκατάσταση της ενημέρωσης, οι χρήστες των Windows σε όλο τον κόσμο ανέφεραν ότι έλαβαν “0x80070643 – ERROR_INSTALL_FAILURE” όταν προσπαθούσαν να εγκαταστήσουν την ενημέρωση, η οποία δεν εξαφανιζόταν όσο σκληρά κι αν προσπάθησαν.
“Παρουσιάστηκαν ορισμένα προβλήματα κατά την εγκατάσταση ενημερώσεων, αλλά θα προσπαθήσουμε ξανά αργότερα. Εάν συνεχίσετε να το βλέπετε και θέλετε να κάνετε αναζήτηση στον ιστό ή να επικοινωνήσετε με την υποστήριξη για πληροφορίες, αυτό μπορεί να σας βοηθήσει: (0x80070643)”, αναφέρεται στο σφάλμα του
Windows Update
.
0x80070643 στο Windows Update
Πηγή: BleepingComputer
Αποδεικνύεται ότι το Windows Update εμφανίζει ένα εσφαλμένο μήνυμα σφάλματος, καθώς υποτίθεται ότι εμφανίζει ένα σφάλμα CBS_E_INSUFFICIENT_DISK_SPACE σε συστήματα με διαμέρισμα Windows Recovery Environment (WinRE) που είναι πολύ μικρό για να εγκατασταθεί η ενημέρωση.
Η Microsoft εξήγησε ότι η νέα ενημερωμένη έκδοση ασφαλείας απαιτεί το διαμέρισμα WinRE να έχει 250 megabyte ελεύθερου χώρου και, αν δεν έχει, πρέπει να επεκτείνετε με μη αυτόματο τρόπο το διαμέρισμα μόνοι σας.
Ωστόσο, η επέκταση του διαμερίσματος WinRE είναι πολύπλοκη, αν όχι αδύνατη, για όσους το WinRE δεν είναι το τελευταίο διαμέρισμα στη μονάδα δίσκου.
Εξαιτίας αυτού, πολλοί δεν μπορούν να εγκαταστήσουν την ενημέρωση ασφαλείας και μένουν με το μήνυμα σφάλματος 0x80070643 κάθε φορά που χρησιμοποιούν το Windows Update.
Αυτά τα σφάλματα έχουν προκαλέσει πολλούς απογοητευμένους χρήστες των Windows να αναζητήσουν μια λύση στο διαδίκτυο, επιτρέποντας στους παράγοντες απειλών να επωφεληθούν από την αναζήτησή τους για μια επιδιόρθωση.
Ψεύτικοι ιστότοποι πληροφορικής προωθούν διορθώσεις PowerShell
Σύμφωνα με το eSentire, οι φορείς απειλών δημιουργούν
πολυ
άριθμους ψεύτικους ιστότοπους υποστήριξης IT που έχουν σχεδιαστεί ειδικά για να βοηθούν τους χρήστες με κοινά σφάλματα των Windows, εστιάζοντας σε μεγάλο βαθμό στο σφάλμα 0x80070643.
“Τον Ιούνιο του 2024, το eSentire’s
Μονάδα αντιμετώπισης απειλών (TRU)
παρατήρησε μια ενδιαφέρουσα περίπτωση που αφορούσε μια μόλυνση από Vidar Stealer που ξεκίνησε μέσω μιας ψεύτικης τοποθεσίας υποστήριξης IT (
Εικόνα
1),» εξηγεί το
eSentire αναφορά
.
“Η μόλυνση ξεκίνησε όταν το θύμα πραγματοποίησε μια αναζήτηση στον ιστό για λύσεις σε έναν κωδικό σφάλματος του Windows Update.”
Οι ερευνητές βρήκαν δύο ψεύτικους ιστότοπους υποστήριξης πληροφορικής που προωθήθηκαν στο YouTube με το όνομα pchelprwizzards[.]com και pchelprwizardsguide[.]com. Κατά τη σύνταξη αυτού του άρθρου, το BleepingComputer βρήκε επιπλέον τοποθεσίες στο pchelprwizardpro[.]com, pchelperwizard[.]com, και fixedguides[.]com.
Όπως τα άλλα βίντεο που βρέθηκαν το eSentire για τους ιστότοπους τυπογραφικών σφαλμάτων PCHelperWizard, το BleepingComputer βρήκε επίσης βίντεο YouTube για τον ιστότοπο FixedGuides, προωθώντας επίσης διορθώσεις για τα σφάλματα 0x80070643.
Ψεύτικοι ιστότοποι υποστήριξης IT που προωθούνται στο YouTube
Πηγή: BleepingComputer
Όλοι αυτοί οι ιστότοποι προσφέρουν επιδιορθώσεις που απαιτούν είτε να αντιγράψετε και να εκτελέσετε μια δέσμη ενεργειών PowerShell είτε να εισαγάγετε τα περιεχόμενα ενός αρχείου μητρώου των Windows.
Ανεξάρτητα από το ποια “λύση” χρησιμοποιείται, θα εκτελεστεί ένα σενάριο PowerShell που κατεβάζει κακόβουλο λογισμικό στη συσκευή.
Η αναφορά του eSentire περιγράφει τον τρόπο με τον οποίο οι ιστότοποι PCHelperWizard (δεν πρέπει να συγχέονται με τη νόμιμη τοποθεσία μαθημάτων) θα καθοδηγούν τους χρήστες στην αντιγραφή ενός σεναρίου PowerShell στο Πρόχειρο των Windows και στην εκτέλεσή του σε μια προτροπή PowerShell.
Κακόβουλο σενάριο PowerShell μεταμφιεσμένο ως επιδιόρθωση σφάλματος των Windows
Πηγή: BleepingComputer
Αυτή η δέσμη ενεργειών PowerShell περιέχει μια κωδικοποιημένη δέσμη ενεργειών Base64 που θα συνδεθεί σε έναν απομακρυσμένο διακομιστή για λήψη ενός άλλου σεναρίου PowerShell, το οποίο εγκαθιστά το κακόβουλο λογισμικό κλοπής πληροφοριών Vidar στη συσκευή.
Όταν ολοκληρωθεί το σενάριο, θα εμφανιστεί ένα μήνυμα ότι η επιδιόρθωση ήταν επιτυχής και θα γίνει
επα
νεκκίνηση του υπολογιστή, το οποίο θα εκκινήσει επίσης το κακόβουλο λογισμικό.
Ο ιστότοπος FixedGuides το κάνει λίγο διαφορετικά, χρησιμοποιώντας ένα ασαφές αρχείο μητρώου των Windows για να κρύψει τις αυτόματες εκκινήσεις που εκκινούν ένα κακόβουλο σενάριο PowerShell.
Θολωμένο αρχείο μητρώου των Windows
Πηγή: BleepingComputer
Ωστόσο, όταν εξήγα τις συμβολοσειρές από το παραπάνω αρχείο, μπορείτε να δείτε ότι περιέχει ένα έγκυρο αρχείο μητρώου που προσθέτει μια καταχώρηση αυτόματης εκκίνησης των Windows (RunOnce) που εκτελεί μια δέσμη ενεργειών PowerShell. Αυτό το σενάριο τελικά κατεβάζει και εγκαθιστά κακόβουλο λογισμικό κλοπής πληροφοριών στον υπολογιστή.
Μη εμπλοκή αρχείου μητρώου των Windows
Πηγή: BleepingComputer
Η χρήση οποιασδήποτε ψεύτικης επιδιόρθωσης θα έχει ως αποτέλεσμα την εκκίνηση του κακόβουλου λογισμικού κλοπής πληροφοριών μετά την επανεκκίνηση των Windows. Μόλις ξεκινήσει, το κακόβουλο λογισμικό θα εξαγάγει αποθηκευμένα διαπιστευτήρια, πιστωτικές κάρτες, cookie και ιστορικό περιήγησης από το πρόγραμμα περιήγησής σας.
Το Vidar μπορεί επίσης να κλέψει πορτοφόλια κρυπτονομισμάτων, αρχεία κειμένου και βάσεις δεδομένων ελέγχου ταυτότητας Authy 2FA, καθώς και να τραβήξει στιγμιότυπα οθόνης της επιφάνειας εργασίας σας.
Αυτά τα δεδομένα συγκεντρώνονται σε ένα αρχείο που ονομάζεται “καταγραφή”, το οποίο στη συνέχεια μεταφορτώνεται στους διακομιστές του εισβολέα. Τα κλεμμένα δεδομένα χρησιμοποιούνται στη συνέχεια για να τροφοδοτήσουν άλλες επιθέσεις, όπως επιθέσεις ransomware, ή πωλούνται σε άλλους παράγοντες απειλών σε αγορές σκοτεινού Ιστού.
Ωστόσο, ο μολυσμένος χρήστης μένει τώρα με έναν εφιάλτη, έχοντας όλους τους λογαριασμούς του σε κίνδυνο και πιθανώς να υποστεί οικονομική απάτη.
Ενώ τα σφάλματα των Windows μπορεί να είναι ενοχλητικά, είναι σημαντικό να κάνετε λήψη λογισμικού και επιδιορθώσεων μόνο από αξιόπιστους ιστότοπους, όχι από τυχαία βίντεο και ιστότοπους με μικρή ή καθόλου φήμη.
Τα διαπιστευτήριά σας έχουν γίνει ένα πολύτιμο εμπόρευμα και οι παράγοντες απειλών επινοούν ύπουλες και δημιουργικές μεθόδους για να τα κλέψουν, επομένως, δυστυχώς, όλοι πρέπει να παραμείνουν σε εγρήγορση έναντι ασυνήθιστων μεθόδων επίθεσης.
Όσο για τα σφάλματα 0x80070643, εάν δεν μπορείτε να αλλάξετε το μέγεθος του διαμερίσματος WinRE, το καλύτερο στοίχημά σας είναι να χρησιμοποιήσετε
Εργαλείο εμφάνισης ή απόκρυψης της Microsoft
για να αποκρύψετε την ενημερωμένη έκδοση KB5034441, ώστε το Windows Update να μην την προσφέρει πλέον στο σύστημά σας και να μην κάνετε αναζήτηση στο Διαδίκτυο για μια μαγική επιδιόρθωση.
VIA:
bleepingcomputer.com
0