توزیع اسکریپت‌های پاورشل مخرب تحت عنوان اصلاحیه خطای 0x80070643 در سیستم‌عامل ویندوز

۱۵ تیر ۱۴۰۳
توزیع بدافزار تحت عنوان اصلاحیه برای خطای ویندوز

محققان امنیتی eSentire به‌تازگی مجموعه‌ای از وب‌سایت‌های مخرب توزیع کننده بدافزار شناسایی کرده‌اند که اسکریپت‌های پاورشل‌های مخرب را تحت عنوان بسته‌های اصلاحیه برای نقص‌های ویندوز و اصلاح خطای 0x80070643 در ویندوز توزیع می‌کنند که در نهایت منجر به آلوده شدن دستگاه قربانی به بدافزار از طریق این روش‌های جعلی می‌شود.

براساس اطلاعات منتشر شده، این سایت‌ها معمولا از طریق کانال‌های یوتیوب که توسط مهاجمان ساخته شده‌اند و محتوای آن‌ها عمدتا ویدیوهای مربوط به راه‌حل‌های اصلاح خطای 0x80070643 در سیستم‌عامل ویندوز است، تبلیغ می‌شوند.

وب‌سایت‌های مخرب توزیع‌کننده این اسکریپت‌های مخرب که تاکنون شناسایی شده‌اند عبارتند از:

pchelprwizzards[.]com
pchelprwizardsguide[.]com
pchelprwizardpro[.]com
pchelperwizard[.]com
fixedguides[.]com

به گفته محققان eSentire، پاورشل توزیع شده حاوی یک رشته کدگذاری شده با الگوریتم Base64 است که قربانی را به یک سرور از راه دور متصل کرده و سپس بدافزار Vidar که یک بدافزار سرقت اطلاعات است را روی دستگاه قربانی نصب می‌کند.

این بدافزار پس از اتمام فرآیند نصب و راه‌اندازی مجدد دستگاه، شروع به استخراج اطلاعات ذخیره شده، اطلاعات کارت‌های اعتباری، کوکی‌ها و تاریخچه مرورگر می‌کند.

با وجود این خطرات و در عین حال آزاردهنده بودن خطاهای 0x80070643 در هنگام به‌روزرسانی ویندوز که مربوط خطای اندازه پارتیشن محیط بازیابی WinRE است، به کاربران اکیدا توصیه می‌شود که نرم‌افزارهای خود را فقط از منابع مورد اعتماد دانلود و سیستم عامل خود را تنها براساس دستورالعمل‌های شرکت مایکروسافت به‌رورسانی کنند.

 

توضیحات بیشتر:

Fake IT support sites push malicious PowerShell scripts as Windows fixes