Поддельные сайты ИТ-поддержки распространяют вредоносные сценарии PowerShell под видом исправлений Windows

Поддельные сайты ИТ-поддержки продвигают вредоносные «исправления» PowerShell для распространенных ошибок Windows, таких как ошибка 0x80070643, для заражения устройств вредоносным ПО, крадущим информацию.
Поддельные сайты ИТ-поддержки распространяют вредоносные сценарии PowerShell под видом исправлений Windows

Поддельные сайты ИТ-поддержки распространяют вредоносные сценарии PowerShell под видом исправлений Windows

Поддельные сайты поддержки, впервые обнаруженные подразделением реагирования на угрозы (TRU) компании eSentire, продвигаются через каналы YouTube, которые были взломаны и перехвачены для придания легитимности создателю контента.

В частности, злоумышленники создают поддельные видеоролики, рекламирующие исправление ошибки 0x80070643, с которой миллионы пользователей Windows сталкиваются с января.

Во вторник обновлений за январь 2024 года компания Microsoft выпустила обновления безопасности, исправляющие уязвимость обхода шифрования BitLocker, идентифицируемую как CVE-2024-20666.

После установки обновления пользователи Windows по всему миру сообщили о получении сообщения «0x80070643 — ERROR_INSTALL_FAILURE» при попытке установить обновление, которое не исчезло, как бы они ни старались.

Из сообщения Microsoft:

«При установке обновлений возникли некоторые проблемы, но мы попробуем еще раз позже. Если вы продолжаете видеть это и хотите выполнить поиск в Интернете или обратиться в службу поддержки для получения информации, это может помочь: (0x80070643).»

Оказывается, Центр обновления Windows выдает неправильное сообщение об ошибке. В компании долюны были предупредить об ошибке CBS_E_INSUFFICIENT_DISK_SPACE в системах с разделом среды восстановления Windows (WinRE), который слишком мал для установки обновления.

В Microsoft пояснили, что новый патч безопасности требует, чтобы в разделе WinRE было 250 мегабайт свободного места, а если этого не происходит, пользователям придется самостоятельно расширить раздел вручную.

Однако расширение раздела WinRE затруднено и даже невозможно, для тех, у кого WinRE не является последним разделом на диске.

Из-за этого многие не могут установить обновление безопасности и каждый раз при использовании Центра обновления Windows получают сообщение об ошибке 0x80070643.

Эти проблемы заставили многих разочарованных пользователей Windows искать решение в Интернете, что дало злоумышленникам повод для атак.

По данным eSentire, злоумышленники создают множество поддельных сайтов ИТ-поддержки, якобы, предназначенных для помощи пользователям с распространенными ошибками Windows, уделяя особое внимание ошибке 0x80070643.

Из сообщения исследователей безопасности:

«В июне 2024 года подразделение реагирования на угрозы (TRU) компании eSentire зафиксировало интригующий случай заражения Vidar Stealer, инициированного через поддельный веб-сайт ИТ-поддержки. Заражение началось, когда жертва выполнила поиск в Интернете решения кода ошибки Центра обновления Windows».

Исследователи обнаружили два поддельных сайта ИТ-поддержки, рекламируемые на YouTube, под названиями pchelprwizzards[.]com и pchelprwizardsguide[.]com.

Все эти сайты предлагают исправления, которые требуют либо скопировать и запустить сценарий PowerShell, либо импортировать содержимое файла реестра Windows.

Использование любого из этих фейковых исправлений приведет к запуску вредоносного ПО, ворующего информацию, после перезапуска Windows. После запуска вредоносное ПО извлечет сохраненные учетные данные, кредитные карты, файлы cookie и историю просмотров из вашего браузера.

Хотя ошибки Windows могут раздражать, крайне важно загружать программное обеспечение и исправления только с надежных веб-сайтов, а не из случайных видеороликов и с веб-сайтов с низкой или нулевой репутацией, резюмируют исследователи безопасности.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

1 комментарий

Добавить комментарий

Больше интересного

Актуальное

Пользователи GitHub получили инструмент защиты авторских прав
В Microsoft предупреждают о взломе моделей ИИ с помощью новых атак Skeleton Key
Новый сервис OpenAI GPT-4 поможет обнаружить ошибки в предложениях по кодированию ChatGPT
Ещё…