Ψεύτικοι ιστότοποι IT support προωθούν κακόβουλες “διορθώσεις” PowerShell για κοινά σφάλματα των Windows, όπως το 0x80070643, για να μολύνουν συσκευές με κακόβουλο λογισμικό που κλέβει πληροφορίες.
Δείτε επίσης: Fickle malware: Χρησιμοποιεί PowerShell για παράκαμψη UAC και εξαγωγή δεδομένων
Οι ψεύτικοι ιστότοποι IT support που ανακαλύφθηκαν για πρώτη φορά από τη μονάδα αντιμετώπισης απειλών (TRU) του eSentire προωθούνται μέσω καναλιών YouTube που έχουν παραβιαστεί για να προστεθεί νομιμότητα στον δημιουργό περιεχομένου.
Συγκεκριμένα, οι κακόβουλοι παράγοντες δημιουργούν ψεύτικους ιστότοπους IT support που προωθούν μια επιδιόρθωση για το σφάλμα 0x80070643, το οποίο αντιμετωπίζουν εκατομμύρια χρήστες των Windows από τον Ιανουάριο, αλλά στην πραγματικότητα παραδίδουν κακόβουλα σενάρια PowerShell.
Στο Patch Tuesday Ιανουαρίου 2024, η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει ένα ελάττωμα παράκαμψης κρυπτογράφησης BitLocker, το οποίο παρακολουθείται ως CVE-2024-20666. Μετά την εγκατάσταση της ενημέρωσης, οι χρήστες των Windows σε όλο τον κόσμο ανέφεραν ότι έλαβαν “0x80070643 – ERROR_INSTALL_FAILURE” όταν προσπαθούσαν να εγκαταστήσουν την ενημέρωση, το οποίο δεν εξαφανιζόταν όσο κι αν προσπάθησαν.
“Παρουσιάστηκαν ορισμένα προβλήματα κατά την εγκατάσταση ενημερώσεων, αλλά θα προσπαθήσουμε ξανά αργότερα. Εάν συνεχίσετε να το βλέπετε και θέλετε να κάνετε αναζήτηση στον ιστό ή να επικοινωνήσετε με την υποστήριξη για πληροφορίες, αυτό μπορεί να σας βοηθήσει: (0x80070643)“, αναφέρεται για το σφάλμα του Windows Update.
Δείτε ακόμα: Κακόβουλο PowerShell που ωθεί malware φαίνεται γραμμένο με AI
Αποδεικνύεται ότι το Windows Update εμφανίζει ένα εσφαλμένο μήνυμα σφάλματος, καθώς υποτίθεται ότι εμφανίζει ένα σφάλμα CBS_E_INSUFFICIENT_DISK_SPACE σε συστήματα με Windows Recovery Environment (WinRE) που είναι πολύ μικρό για να εγκατασταθεί η ενημέρωση.
Η Microsoft εξήγησε ότι η νέα ενημερωμένη έκδοση ασφαλείας απαιτεί το WinRE να έχει 250 megabyte ελεύθερου χώρου και αν δεν έχει, πρέπει να επεκτείνετε με μη αυτόματο τρόπο. Ωστόσο, η επέκταση του WinRE είναι πολύπλοκη, αν όχι αδύνατη, για όσους το WinRE δεν είναι το τελευταίο διαμέρισμα στη μονάδα δίσκου.
Έτσι πολλοί απογοητευμένοι χρήστες των Windows αναζητούν μια λύση στο διαδίκτυο, επιτρέποντας στους παράγοντες απειλών να επωφεληθούν από την αναζήτησή τους για μια επιδιόρθωση.
Σύμφωνα με το eSentire, οι κακόβουλοι παράγοντες δημιουργούν πολυάριθμους ψεύτικους ιστότοπους IT support που έχουν σχεδιαστεί ειδικά για να βοηθούν τους χρήστες με κοινά σφάλματα των Windows, εστιάζοντας σε μεγάλο βαθμό στο σφάλμα 0x80070643, αλλά στην πραγματικότητα διανέμουν κακόβουλο PowerShell. Οι ερευνητές βρήκαν δύο ψεύτικους ιστότοπους υποστήριξης που προωθήθηκαν στο YouTube με τα ονόματα pchelprwizzards[.]com και pchelprwizardsguide[.]com.
Όλοι αυτοί οι ιστότοποι προσφέρουν επιδιορθώσεις που απαιτούν είτε να αντιγράψετε και να εκτελέσετε μια δέσμη ενεργειών PowerShell είτε να εισάγετε τα περιεχόμενα ενός αρχείου μητρώου των Windows. Ανεξάρτητα από το ποια “λύση” χρησιμοποιείται, θα εκτελεστεί ένα σενάριο PowerShell που κατεβάζει κακόβουλο λογισμικό στη συσκευή.
Δείτε επίσης: Gamaredon: Χρησιμοποιεί PowerShell USB malware για να κάνει drop backdoors
Τα κακόβουλα σενάρια PowerShell, όπως αυτό των ψεύτικων ιστότοπων IT support είναι ένα κοινό εργαλείο που χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για να παραβιάζουν και να ελέγχουν συστήματα. Αυτά τα σενάρια μπορούν να εκτελέσουν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, από τη λήψη και την εκτέλεση κακόβουλου λογισμικού έως την εξαγωγή ευαίσθητων δεδομένων από το σύστημα προορισμού. Συχνά, παραδίδονται μέσω phishing email ή ενσωματώνονται σε έγγραφα με νόμιμη εμφάνιση. Μόλις εκτελεστούν, τα κακόβουλα σενάρια PowerShell μπορούν να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας λόγω της ικανότητάς τους να εκτελούνται στη μνήμη, καθιστώντας τον εντοπισμό πιο δύσκολο. Είναι ζωτικής σημασίας για τους οργανισμούς να εφαρμόζουν ισχυρές πολιτικές παρακολούθησης και εκτέλεσης για τα σενάρια PowerShell για να μετριάσουν τον κίνδυνο τέτοιων επιθέσεων.
Πηγή: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/599648/pseftika-sites-it-support-proothoun-kakovoula-senaria-powershell/&media=https://www.secnews.gr/wp-content/uploads/2024/07/malicious-PowerShell-scripts.png&description=Ψεύτικοι ιστότοποι IT support προωθούν κακόβουλες "διορθώσεις" PowerShell για κοινά σφάλματα των Windows, όπως το 0x80070643.){kind=link}