Новости Ошибка 0x80070643: обращение в техподдержку приводит к установке вредоносного ПО

NewsMaker

I'm just a script
Премиум
13,853
20
8 Ноя 2022
Поиск решения проблемы на YouTube не всегда может быть полезен.


aplyt4fd9emim6klolhkr0qdmvm9ommz.jpg


В сети появились фейковые сайты техподдержки, которые предлагают решения для устранения распространенных ошибок Windows , таких как ошибка 0x80070643. Поддельные ресурсы заражают устройства стилерами.

Впервые о проблеме Для просмотра ссылки Войди или Зарегистрируйся специалисты из eSentire. По данным компании, злоумышленники используют взломанные YouTube-каналы для продвижения фальшивых программ, придавая им видимость легитимности. В частности, поддельные видеоролики рекламируют исправление ошибки 0x80070643, с которой миллионы пользователей Windows сталкиваются с января.

В январе Microsoft выпустила обновление безопасности для устранения уязвимости BitLocker ( Для просмотра ссылки Войди или Зарегистрируйся ). Однако после установки обновления многие пользователи начали получать сообщение об ошибке 0x80070643 - ERROR_INSTALL_FAILURE. Ошибка была вызвана нехваткой места на разделе Windows Recovery Environment (WinRE), что требовало его увеличения до 250 МБ. Однако манипуляции с разделом WinRE сложны и не всегда возможны, что оставило многих пользователей с нерешенной проблемой и постоянными сбоями при обновлении.

Разочарованные пользователи стали искать решения в интернете, чем и воспользовались киберпреступники, которые создали множество фейковых сайтов техподдержки (pchelprwizzards[.]com, pchelprwizardsguide[.]com, fixguides[.]com и другие). На сайтах предлагается либо скопировать и запустить PowerShell-скрипт, либо импортировать содержимое файла реестра Windows. Независимо от метода, запуск PowerShell-скрипта приводит к загрузке на устройство инфостилера.


4r7gxm89xvju3v6spr9xk2ld50w7vhuh.png


Поддельные сайты ИТ-поддержки рекламируются в видео на YouTube

Один из таких скриптов, закодированный в Base64, подключается к удаленному серверу для загрузки другого скрипта, который устанавливает на устройство вредоносное ПО Vidar .


iuo1ztmg1l9zjey02c1ikls79qh6x66d.png


Вредоносный скрипт, замаскированный под исправление ошибок Windows

После выполнения скрипта пользователю выводится сообщение об успешном исправлении и рекомендации перезагрузить компьютер, что активирует вредоносное ПО. Сайт FixedGuides использует запутанный файл реестра Windows, чтобы скрыть автозапуск, который запускает вредоносный PowerShell-скрипт.

Запуск фейковых исправлений приводит к активации вредоносного ПО, которое крадет сохраненные пароли, данные кредитных карт, куки и историю браузера. Vidar также может угонять криптовалютные кошельки, похищать текстовые файлы и базы данных аутентификаторов Authy 2FA, а также делать скриншоты рабочего стола.

Все собранные данные загружаются на серверы злоумышленников, где используются для дальнейших атак программ-вымогателей или продаются в даркнете.

Зараженный пользователь сталкивается с серьёзными последствиями: компрометация всех аккаунтов и потенциальные финансовые потери. Поэтому, сталкиваясь с ошибками Windows, важно загружать ПО и исправления только с проверенных сайтов, а не с видео и ресурсов с сомнительной репутацией.

Для тех, кто не может увеличить раздел WinRE, специалисты рекомендуют отключить установку определенных обновлений (нужно выбрать KB5034441), например, с помощью утилиты Microsoft Show or Hide Tool.
 
Источник новости
www.securitylab.ru

Похожие темы