سایت های جعلی پشتیبانی از فناوری اطلاعات، اسکریپت های مخرب PowerShell را همزمان با رفع مشکل ویندوز، فشار می دهند

سایت‌های پشتیبانی IT جعلی، «رفع»های مخرب PowerShell را برای خطاهای رایج ویندوز، مانند خطای 0x80070643، تبلیغ می‌کنند تا دستگاه‌ها را با بدافزار سرقت اطلاعات آلوده کنند.
برای اولین بار توسط واحد پاسخگویی به تهدید eSentire (TRU) کشف شد، سایت‌های پشتیبانی جعلی از طریق کانال‌های YouTube که به خطر افتاده و ربوده شده‌اند، تبلیغ می‌شوند تا مشروعیت به سازنده محتوا اضافه شود.
به طور خاص، عوامل تهدید در حال ایجاد ویدیوهای جعلی برای ترویج رفع خطای 0x80070643 هستند که میلیون‌ها کاربر ویندوز از ژانویه با آن دست و پنجه نرم می‌کنند.
در طی وصله سه‌شنبه ژانویه ۲۰۲۴، مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع نقص رمزگذاری BitLocker منتشر کرد که به‌عنوان CVE-2024-20666 ردیابی می‌شود.
پس از نصب به‌روزرسانی، کاربران ویندوز در سرتاسر جهان گزارش دادند که هنگام تلاش برای نصب به‌روزرسانی، ‘0x80070643 – ERROR_INSTALL_FAILURE’ دریافت کرده‌اند، که هر چقدر هم که تلاش می‌کنند از بین نمی‌رود.
خطای Windows Update می‌گوید: “مشکلاتی در نصب به‌روزرسانی‌ها وجود داشت، اما بعداً دوباره تلاش می‌کنیم. اگر همچنان این مورد را مشاهده می‌کنید و می‌خواهید در وب جستجو کنید یا برای اطلاعات با پشتیبانی تماس بگیرید، ممکن است کمک کند: (0x80070643)”

0x80070643 در Windows UpdateSource: BleepingComputer
معلوم شد که Windows Update یک پیغام خطای نادرست نمایش می‌دهد، زیرا قرار بود خطای CBS_E_INSUFFICIENT_DISK_SPACE را در سیستم‌هایی با پارتیشن Windows Recovery Environment (WinRE) که برای نصب به‌روزرسانی کوچک است، نمایش دهد.
مایکروسافت توضیح داد که به‌روزرسانی امنیتی جدید مستلزم آن است که پارتیشن WinRE 250 مگابایت فضای خالی داشته باشد و اگر اینطور نیست، باید خودتان پارتیشن را به صورت دستی گسترش دهید.
با این حال، گسترش پارتیشن WinRE برای کسانی که WinRE آخرین پارتیشن روی درایو نیست، اگر غیرممکن نباشد، پیچیده است.
به همین دلیل، بسیاری از آنها قادر به نصب به‌روزرسانی امنیتی نیستند و هر بار که از Windows Update استفاده می‌کنند، با پیام خطای 0x80070643 مواجه می‌شوند.
این خطاها باعث شده است که بسیاری از کاربران ناامید ویندوز به دنبال راه حلی آنلاین باشند و به عوامل تهدید اجازه می دهد تا از جستجوی خود برای رفع مشکل استفاده کنند.
سایت‌های جعلی فناوری اطلاعات اصلاحات PowerShell را تبلیغ می‌کنند
به گفته eSentire، عوامل تهدید در حال ایجاد سایت‌های جعلی پشتیبانی IT هستند که به طور خاص برای کمک به کاربران با خطاهای رایج ویندوز طراحی شده‌اند و به شدت بر روی خطای 0x80070643 تمرکز دارند.
گزارش eSentire توضیح می‌دهد: «در ژوئن 2024، واحد پاسخ به تهدید (TRU) eSentire یک مورد جالب را مشاهده کرد که شامل عفونت Vidar Stealer بود که از طریق یک وب‌سایت پشتیبانی IT جعلی آغاز شده بود (شکل 1).
عفونت زمانی شروع شد که قربانی جستجوی وب را برای راه حل های کد خطای Windows Update انجام داد.
محققان دو سایت جعلی پشتیبانی فناوری اطلاعات را پیدا کردند که در YouTube به نام‌های pchelprwizzards[.]com و pchelprwizardsguide[.]com تبلیغ شده‌اند. هنگام نوشتن این مقاله، BleepingComputer سایت‌های دیگری را در pchelprwizardpro[.]com، pchelperwizard[.]com و fixedguides[.]com پیدا کرد.
مانند سایر ویدیوهایی که eSentire برای سایت‌های غلط املایی PCHelperWizard یافت شد، BleepingComputer نیز ویدیوهای YouTube را برای سایت FixedGuides پیدا کرد، و همچنین رفع خطاهای 0x80070643 را ارتقا داد.

سایت‌های پشتیبانی IT جعلی در YouTube تبلیغ می‌شوند منبع: BleepingComputer
همه این سایت‌ها راه‌حل‌هایی را ارائه می‌کنند که یا از شما می‌خواهد یک اسکریپت PowerShell را کپی و اجرا کنید یا محتوای یک فایل رجیستری ویندوز را وارد کنید.
صرف نظر از اینکه کدام “راه حل” استفاده می شود، یک اسکریپت PowerShell اجرا می شود که بدافزار را روی دستگاه دانلود می کند.
گزارش eSentire نشان می‌دهد که چگونه سایت‌های PCHelperWizard (با سایت دوره قانونی اشتباه گرفته نشود) کاربران را از طریق کپی کردن یک اسکریپت PowerShell در کلیپ بورد ویندوز و اجرای آن در یک درخواست PowerShell راهنمایی می‌کند.

اسکریپت مخرب PowerShell به عنوان یک خطای ویندوز مبدل شده است منبع: BleepingComputer
این اسکریپت PowerShell حاوی یک اسکریپت کدگذاری شده Base64 است که به یک سرور راه دور متصل می شود تا اسکریپت PowerShell دیگری را دانلود کند که بدافزار سرقت اطلاعات Vidar را روی دستگاه نصب می کند.
هنگامی که اسکریپت تمام شد، پیامی مبنی بر موفقیت آمیز بودن تعمیر و راه اندازی مجدد رایانه نشان می دهد که بدافزار را نیز راه اندازی می کند.
سایت FixedGuides این کار را کمی متفاوت انجام می دهد و از یک فایل رجیستری ویندوز مبهم برای مخفی کردن شروع خودکار که یک اسکریپت مخرب PowerShell را راه اندازی می کند، استفاده می کند.

فایل رجیستری ویندوز مبهم منبع: BleepingComputer
با این حال، وقتی رشته‌ها را از فایل بالا استخراج کردم، می‌بینید که حاوی یک فایل رجیستری معتبر است که ورودی خودکار Windows (RunOnce) را اضافه می‌کند که یک اسکریپت PowerShell را اجرا می‌کند. این اسکریپت در نهایت بدافزار سرقت اطلاعات را دانلود و بر روی رایانه نصب می کند.

منبع فایل رجیستری ویندوز بدون ابهام: BleepingComputer
استفاده از هر دو راه حل جعلی منجر به راه اندازی بدافزار سرقت اطلاعات پس از راه اندازی مجدد ویندوز می شود. پس از شروع، بدافزار اعتبارنامه‌های ذخیره‌شده، کارت‌های اعتباری، کوکی‌ها و سابقه مرور را از مرورگر شما استخراج می‌کند.

ویدار همچنین می‌تواند کیف پول‌های رمزنگاری، فایل‌های متنی، و پایگاه‌های داده احراز هویت Authy 2FA و همچنین سرقت کند.

از دسکتاپ خود اسکرین شات بگیرید
این داده ها در یک آرشیو به نام “log” کامپایل می شوند که سپس در سرورهای مهاجم آپلود می شوند. سپس داده‌های دزدیده شده برای تقویت حملات دیگر، مانند حملات باج‌افزار، یا فروخته شدن به دیگر عوامل تهدید در بازارهای وب تاریک مورد استفاده قرار می‌گیرند.
با این حال، کاربر آلوده اکنون با یک کابوس روبرو شده است، زیرا تمام حساب‌هایش در معرض خطر قرار گرفته و احتمالاً دچار کلاهبرداری مالی می‌شوند.
در حالی که خطاهای ویندوز می تواند آزاردهنده باشد، بسیار مهم است که نرم افزار را دانلود کنید و آن را فقط از وب سایت های قابل اعتماد دانلود کنید، نه از ویدیوهای تصادفی و وب سایت هایی با شهرت کم یا بدون شهرت.
اعتبار شما به کالایی با ارزش تبدیل شده است و بازیگران تهدید با روش‌های زیرکانه و خلاقانه برای سرقت آن‌ها دست به کار شده‌اند، بنابراین متأسفانه، همه باید در برابر روش‌های حمله غیرمعمول هوشیار باشند.
در مورد خطاهای 0x80070643، اگر نمی‌توانید اندازه پارتیشن WinRE را تغییر دهید، بهترین کار این است که از ابزار Show یا Hide مایکروسافت برای مخفی کردن به‌روزرسانی KB5034441 استفاده کنید تا Windows Update دیگر آن را در سیستم شما ارائه نکند و در اینترنت جستجو نکنید. یک راه حل جادویی