01/07/24
В сети появились подложные сайты техподдержки, которые предлагают решения для устранения распространенных ошибок Windows, таких как ошибка 0x80070643. Поддельные ресурсы заражают устройства инфостилерами, пишет Securitylab.
Впервые о проблеме сообщили специалисты из eSentire. По данным компании, злоумышленники используют взломанные YouTube-каналы для продвижения фальшивых программ, придавая им видимость легитимности. В частности, поддельные видеоролики рекламируют исправление ошибки 0x80070643, с которой миллионы пользователей Windows сталкиваются с января.
В январе Microsoft выпустила обновление безопасности для устранения уязвимости BitLocker ( CVE-2024-20666 ). Однако после установки обновления многие пользователи начали получать сообщение об ошибке 0x80070643 - ERROR_INSTALL_FAILURE. Ошибка была вызвана нехваткой места на разделе Windows Recovery Environment (WinRE), что требовало его увеличения до 250 МБ. Однако манипуляции с разделом WinRE сложны и не всегда возможны, что оставило многих пользователей с нерешенной проблемой и постоянными сбоями при обновлении.
Разочарованные пользователи стали искать решения в интернете, чем и воспользовались киберпреступники, которые создали множество фейковых сайтов техподдержки (pchelprwizzards[.]com, pchelprwizardsguide[.]com, fixguides[.]com и другие). На сайтах предлагается либо скопировать и запустить PowerShell-скрипт, либо импортировать содержимое файла реестра Windows. Независимо от метода, запуск PowerShell-скрипта приводит к загрузке на устройство инфостилера.
Один из таких скриптов, закодированный в Base64, подключается к удаленному серверу для загрузки другого скрипта, который устанавливает на устройство вредоносное ПО Vidar.
После выполнения скрипта пользователю выводится сообщение об успешном исправлении и рекомендации перезагрузить компьютер, что активирует вредоносное ПО. Сайт FixedGuides использует запутанный файл реестра Windows, чтобы скрыть автозапуск, который запускает вредоносный PowerShell-скрипт.
Запуск фейковых исправлений приводит к активации вредоносного ПО, которое крадет сохраненные пароли, данные кредитных карт, куки и историю браузера. Vidar также может угонять криптовалютные кошельки, похищать текстовые файлы и базы данных аутентификаторов Authy 2FA, а также делать скриншоты рабочего стола.
Все собранные данные загружаются на серверы злоумышленников, где используются для дальнейших атак программ-вымогателей или продаются в даркнете.
Зараженный пользователь сталкивается с серьёзными последствиями: компрометация всех аккаунтов и потенциальные финансовые потери. Поэтому, сталкиваясь с ошибками Windows, важно загружать ПО и исправления только с проверенных сайтов, а не с видео и ресурсов с сомнительной репутацией.
Для тех, кто не может увеличить раздел WinRE, специалисты рекомендуют отключить установку определенных обновлений (нужно выбрать KB5034441), например, с помощью утилиты Microsoft Show or Hide Tool.
