Valse IT-ondersteuningssites promoten kwaadaardige PowerShell “oplossingen” voor veelvoorkomende Windows-fouten, zoals de 0x80070643-fout, om apparaten te infecteren met informatie-stelende malware.

Voor het eerst ontdekt door de Threat Response Unit (TRU) van eSentire, worden de valse ondersteuningssites gepromoot via YouTube-kanalen die zijn gecompromitteerd en gekaapt om de contentmaker meer legitimiteit te geven.

In het bijzonder maken de dreigingsactoren valse video’s die een oplossing promoten voor de 0x80070643-fout waar miljoenen Windows-gebruikers sinds januari mee te maken hebben.

Tijdens de Patch Tuesday van januari 2024 bracht Microsoft beveiligingsupdates uit om een BitLocker-encryptie-omzeilingsfout te verhelpen, die wordt gevolgd als CVE-2024-20666.

Na het installeren van de update meldden Windows-gebruikers wereldwijd dat ze de fout ‘0x80070643 – ERROR_INSTALL_FAILURE’ kregen bij het proberen de update te installeren, die niet verdween, hoe hard ze ook probeerden.

“Er waren enkele problemen bij het installeren van updates, maar we proberen het later opnieuw. Als u dit steeds ziet en op internet wilt zoeken of ondersteuning wilt contacteren voor informatie, dan kan dit helpen: (0x80070643),” leest de Windows Update-foutmelding.

Het blijkt dat Windows Update een onjuiste foutmelding weergeeft, omdat het eigenlijk een CBS_E_INSUFFICIENT_DISK_SPACE-fout moest weergeven op systemen met een Windows Recovery Environment (WinRE) partitie die te klein is voor de update.

Microsoft legde uit dat de nieuwe beveiligingsupdate vereist dat de WinRE-partitie 250 megabyte vrije ruimte heeft, en als dit niet het geval is, moet je de partitie handmatig zelf uitbreiden.

Het uitbreiden van de WinRE-partitie is echter gecompliceerd, zo niet onmogelijk, voor degenen bij wie de WinRE niet de laatste partitie op de schijf is.

Hierdoor kunnen velen de beveiligingsupdate niet installeren en blijven ze bij elke keer dat ze Windows Update gebruiken met de 0x80070643-foutmelding zitten.

Deze fouten hebben veel gefrustreerde Windows-gebruikers ertoe aangezet online naar een oplossing te zoeken, waardoor dreigingsactoren hun zoektocht naar een oplossing kunnen uitbuiten.

Valse IT-sites promoten PowerShell-oplossingen

Volgens eSentire maken dreigingsactoren talrijke valse IT-ondersteuningssites die specifiek zijn ontworpen om gebruikers te helpen met veelvoorkomende Windows-fouten, met een sterke focus op de 0x80070643-fout.

“In juni 2024 observeerde eSentire’s Threat Response Unit (TRU) een intrigerend geval met een Vidar Stealer-infectie geïnitieerd via een valse IT-ondersteuningswebsite (Figuur 1),” legt het eSentire-rapport uit.

“De infectie begon toen het slachtoffer een webzoekopdracht uitvoerde voor oplossingen voor een Windows Update-foutcode.”

De onderzoekers vonden twee valse IT-ondersteuningssites gepromoot op YouTube, genaamd pchelprwizzards[.]com en pchelprwizardsguide[.]com. Tijdens het schrijven van dit artikel vond BleepingComputer extra sites op pchelprwizardpro[.]com, pchelperwizard[.]com en fixedguides[.]com.

Net als de andere video’s die eSentire vond voor de PCHelperWizard typefout sites, vond BleepingComputer ook YouTube-video’s voor de FixedGuides-site, die ook oplossingen promoten voor de 0x80070643-fouten.

Deze sites bieden allemaal oplossingen die vereisen dat je een PowerShell-script kopieert en uitvoert of de inhoud van een Windows Register-bestand importeert.

Ongeacht welke “oplossing” wordt gebruikt, zal er een PowerShell-script worden uitgevoerd dat malware op het apparaat downloadt.

Het rapport van eSentire beschrijft hoe de PCHelperWizard-sites (niet te verwarren met de legitieme cursus site) gebruikers door het kopiëren van een PowerShell-script naar het Windows-klembord laten lopen en het uitvoeren in een PowerShell-prompt.

Dit PowerShell-script bevat een Base64-gecodeerd script dat verbinding maakt met een externe server om een ander PowerShell-script te downloaden, dat de Vidar informatie-stelende malware op het apparaat installeert.

Wanneer het script klaar is, zal het een bericht weergeven dat de oplossing succesvol was en dat de computer opnieuw moet worden opgestart, wat ook de malware zal lanceren.

De FixedGuides-site doet het iets anders, door een verhuld Windows Register-bestand te gebruiken om autostarts te verbergen die een kwaadaardig PowerShell-script starten.

Bij het extraheren van de strings uit het bovenstaande bestand, zie je dat het een geldig Register-bestand bevat dat een Windows-autostart (RunOnce) invoer toevoegt die een PowerShell-script uitvoert. Dit script uiteindelijk informatie-stelende malware op de computer downloadt en installeert.

Het gebruik van welke valse oplossing dan ook zal ertoe leiden dat de informatie-stelende malware wordt gelanceerd nadat Windows opnieuw is opgestart. Eenmaal gestart, zal de malware opgeslagen inloggegevens, creditcards, cookies en browsegeschiedenis uit je browser extraheren.

Vidar kan ook cryptovaluta-wallets, tekstbestanden en Authy 2FA-authenticator databases stelen, evenals screenshots van je bureaublad maken.

Deze gegevens worden samengevoegd tot een archief genaamd een “log,” die vervolgens naar de servers van de aanvaller wordt geüpload. De gestolen gegevens worden dan gebruikt om andere aanvallen te voeden, zoals ransomware-aanvallen, of verkocht aan andere dreigingsactoren op dark web marktplaatsen.

De geïnfecteerde gebruiker blijft echter achter met een nachtmerrie, waarbij al hun accounts zijn gecompromitteerd en mogelijk financiële fraude ondervindt.

Hoewel Windows-fouten vervelend kunnen zijn, is het cruciaal om software en oplossingen alleen te downloaden van vertrouwde websites en niet van willekeurige video’s en websites met weinig of geen reputatie.

Je inloggegevens zijn een waardevol goed geworden en dreigingsactoren bedenken stiekeme en creatieve methoden om ze te stelen, dus helaas moet iedereen waakzaam blijven voor ongewone aanvalsmethoden.

Wat betreft de 0x80070643-fouten, als je niet in staat bent de WinRE-partitie te vergroten, is je beste optie om Microsoft’s Show or Hide Tool te gebruiken om de KB5034441 update te verbergen, zodat Windows Update deze niet langer aanbiedt op je systeem en niet op internet te zoeken naar een magische oplossing.