虚假的 IT 支持网站宣传针对常见 Windows 错误(如 0x80070643 错误)的恶意 PowerShell“修复”,以使用窃取信息的恶意软件感染设备。
这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现,它们通过已被入侵和劫持的 YouTube 频道进行推广,以增加内容创建者的合法性。
具体来说,威胁行为者正在制作虚假视频,宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。
在 2024 年 1 月补丁星期二期间,微软发布了安全更新以修复 BitLocker 加密绕过漏洞,该漏洞被追踪为 CVE-2024-20666。
安装更新后,全球的 Windows 用户报告称,在尝试安装更新时收到“0x80070643 - ERROR_INSTALL_FAILURE”,无论他们如何努力,该错误都不会消失。
“安装更新时出现一些问题,但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息,这可能会有所帮助: (0x80070643)”,Windows 更新错误显示。
Windows 更新中的 0x80070643
事实证明,Windows Update 显示了不正确的错误消息,因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。
微软解释称,新的安全更新要求 WinRE 分区有 250MB 的可用空间,如果没有,则必须自行手动扩展该分区。
但是,对于那些 WinRE 不是驱动器上的最后一个分区的人来说,扩展 WinRE 分区很复杂,甚至是不可能的。
因此,许多人无法安装安全更新,并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。
这些错误导致许多沮丧的 Windows 用户在线寻求解决方案,从而让威胁行为者得以利用他们寻找解决方案的机会。
虚假 IT 网站宣传 PowerShell 修复程序
据 eSentire 称,威胁行为者正在创建许多虚假的 IT 支持网站,这些网站专门用于帮助用户解决常见的 Windows 错误,重点关注 0x80070643 错误。
eSentire 报告解释道:“2024 年 6 月,eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例,涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染(图 1)。”
“当受害者在网上搜索 Windows 更新错误代码的解决方案时,感染就开始了。”
研究人员在 YouTube 上发现了两个虚假的 IT 支持网站,名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。
就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样, 研究人员还在 FixedGuides 网站上找到了 YouTube 视频,同样宣传了针对 0x80070643 错误的修复。