محققان امنیتی eSentire بهتازگی مجموعهای از وبسایتهای مخرب توزیع کننده بدافزار شناسایی کردهاند که اسکریپتهای پاورشلهای مخرب را تحت عنوان بستههای اصلاحیه برای نقصهای ویندوز و اصلاح خطای 0x80070643 در ویندوز توزیع میکنند که در نهایت منجر به آلوده شدن دستگاه قربانی به بدافزار از طریق این روشهای جعلی میشود.
براساس اطلاعات منتشر شده، این سایتها معمولا از طریق کانالهای یوتیوب که توسط مهاجمان ساخته شدهاند و محتوای آنها عمدتا ویدیوهای مربوط به راهحلهای اصلاح خطای 0x80070643 در سیستمعامل ویندوز است، تبلیغ میشوند.
وبسایتهای مخرب توزیعکننده این اسکریپتهای مخرب که تاکنون شناسایی شدهاند عبارتند از:
pchelprwizzards[.]com
pchelprwizardsguide[.]com
pchelprwizardpro[.]com
pchelperwizard[.]com
fixedguides[.]com
pchelprwizardsguide[.]com
pchelprwizardpro[.]com
pchelperwizard[.]com
fixedguides[.]com
به گفته محققان eSentire، پاورشل توزیع شده حاوی یک رشته کدگذاری شده با الگوریتم Base64 است که قربانی را به یک سرور از راه دور متصل کرده و سپس بدافزار Vidar که یک بدافزار سرقت اطلاعات است را روی دستگاه قربانی نصب میکند.
این بدافزار پس از اتمام فرآیند نصب و راهاندازی مجدد دستگاه، شروع به استخراج اطلاعات ذخیره شده، اطلاعات کارتهای اعتباری، کوکیها و تاریخچه مرورگر میکند.
با وجود این خطرات و در عین حال آزاردهنده بودن خطاهای 0x80070643 در هنگام بهروزرسانی ویندوز که مربوط خطای اندازه پارتیشن محیط بازیابی WinRE است، به کاربران اکیدا توصیه میشود که نرمافزارهای خود را فقط از منابع مورد اعتماد دانلود و سیستم عامل خود را تنها براساس دستورالعملهای شرکت مایکروسافت بهرورسانی کنند.
توضیحات بیشتر:
- Fake IT support sites push malicious PowerShell scripts as Windows fixes