Sahte BT destek siteleri, Windows düzeltmeleri olarak kötü amaçlı PowerShell komut dosyalarını gönderiyor


Sahte BT destek siteleri, cihazları bilgi çalan kötü amaçlı yazılımlarla enfekte etmek amacıyla 0x80070643 hatası gibi yaygın Windows hatalarına yönelik kötü amaçlı PowerShell “düzeltmelerini” tanıtıyor.

İlk olarak eSentire’nin Tehdit Müdahale Birimi (TRU) tarafından keşfedilen sahte destek siteleri, içerik oluşturucusuna meşruiyet kazandırmak amacıyla ele geçirilen ve güvenliği ihlal edilen YouTube kanalları aracılığıyla tanıtılıyor.

Özellikle tehdit aktörleri, milyonlarca Windows kullanıcısının Ocak ayından bu yana uğraştığı 0x80070643 hatasına yönelik bir düzeltmenin tanıtımını yapan sahte videolar oluşturuyor.

Ocak 2024 Yaması Salı sırasında Microsoft, CVE-2024-20666 olarak izlenen bir BitLocker şifreleme atlama kusurunu düzeltmek için güvenlik güncellemeleri yayınladı.

Dünya çapındaki Windows kullanıcıları, güncelleştirmeyi yükledikten sonra güncelleştirmeyi yüklemeye çalıştıklarında ‘0x80070643 – ERROR_INSTALL_FAILURE’ hatasıyla karşılaştıklarını ve ne kadar uğraşırlarsa uğraşsınlar bu sorunun düzelmediğini bildirdiler.

“Güncelleştirmeleri yüklerken bazı sorunlar oluştu, ancak daha sonra tekrar deneyeceğiz. Bunu görmeye devam ederseniz ve web’de arama yapmak veya bilgi için destekle iletişime geçmek isterseniz, bu yardımcı olabilir: (0x80070643),” Windows Update hatası okunuyor.

Windows Update’te 0x80070643
Kaynak: BleepingComputer

Windows Güncellemenin, güncellemenin yüklenemeyeceği kadar küçük bir Windows Kurtarma Ortamı (WinRE) bölümüne sahip sistemlerde bir CBS_E_INSUFFICIENT_DISK_SPACE hatası göstermesi beklendiğinden, yanlış bir hata mesajı görüntülediği ortaya çıktı.

Microsoft, yeni güvenlik güncelleştirmesinin WinRE bölümünde 250 megabayt boş alan gerektirmesi durumunda bölümü manuel olarak genişletmeniz gerektiğini açıkladı.

Ancak WinRE bölümünü genişletmek, WinRE’nin sürücüdeki son bölüm olmadığı kişiler için imkansız olmasa da karmaşıktır.

Bu nedenle, birçok kişi güvenlik güncelleştirmesini yükleyemiyor ve Windows Update’i her kullandıklarında 0x80070643 hata mesajıyla karşılaşıyor.

Bu hatalar, pek çok hayal kırıklığına uğramış Windows kullanıcısının çevrimiçi bir çözüm aramasına neden oldu ve tehdit aktörlerinin çözüm arayışlarından faydalanmalarına olanak tanıdı.

Sahte BT siteleri PowerShell düzeltmelerini tanıtıyor

eSentire’a göre tehdit aktörleri, özellikle 0x80070643 hatasına odaklanarak yaygın Windows hatalarını yaşayan kullanıcılara yardımcı olmak için özel olarak tasarlanmış çok sayıda sahte BT destek sitesi oluşturuyor.

eSentire raporu, “Haziran 2024’te, eSentire’ın Tehdit Yanıt Birimi (TRU), sahte bir BT destek web sitesi (Şekil 1) aracılığıyla başlatılan bir Vidar Stealer enfeksiyonunun dahil olduğu ilgi çekici bir vakayı gözlemledi” diye açıklıyor.

“Enfeksiyon, kurbanın Windows Update Hata koduna yönelik çözümler için internette arama yapmasıyla başladı.”

Araştırmacılar, YouTube’da tanıtılan pchelprwizzards adında iki sahte BT destek sitesi buldular[.]com ve pchelprwizardsguide[.]com. Bu makaleyi yazarken, BleepingComputer pchelprwizardpro ​​adresinde ek siteler buldu[.]com, phelperwizard[.]com ve fixedguides[.]com.

eSentire’ın PCHelperWizard yazım hatası siteleri için bulduğu diğer videolar gibi, BleepingComputer da FixedGuides sitesi için 0x80070643 hatalarına yönelik düzeltmeleri tanıtan YouTube videoları buldu.

YouTube'da tanıtılan sahte BT destek siteleri
YouTube’da tanıtılan sahte BT destek siteleri
Kaynak: BleepingComputer

Bu sitelerin tümü, bir PowerShell betiğini kopyalayıp çalıştırmanızı veya bir Windows Kayıt Defteri dosyasının içeriğini içe aktarmanızı gerektiren düzeltmeler sunar.

Hangi “çözümün” kullanıldığına bakılmaksızın, cihaza kötü amaçlı yazılım indiren bir PowerShell betiği yürütülecektir.

eSentire’ın raporu, PCHelperWizard sitelerinin (meşru kurs sitesiyle karıştırılmamalıdır), bir PowerShell betiğini Windows Panosuna kopyalama ve bunu bir PowerShell isteminde yürütme konusunda kullanıcılara nasıl yol göstereceğini özetlemektedir.

Windows hata düzeltmesi gibi görünen kötü amaçlı PowerShell betiği
Kötü amaçlı PowerShell betiği Windows hata düzeltmesi olarak gizlendi
Kaynak: BleepingComputer

Bu PowerShell betiği, cihaza Vidar bilgi çalan kötü amaçlı yazılımını yükleyen başka bir PowerShell betiğini indirmek için uzak bir sunucuya bağlanacak Base64 kodlu bir betik içerir.

Komut dosyası tamamlandığında, düzeltmenin başarılı olduğunu bildiren bir mesaj görüntülenecek ve bilgisayarı yeniden başlatmanız istenecek; bu da kötü amaçlı yazılımın başlatılmasına neden olacaktır.

FixGuides sitesi, kötü amaçlı bir PowerShell betiği başlatan otomatik başlatmaları gizlemek için karmaşık bir Windows Kayıt Defteri dosyası kullanarak bunu biraz farklı yapıyor.

Karıştırılmış Windows Kayıt Defteri dosyası
Karmaşık Windows Kayıt Defteri dosyası
Kaynak: BleepingComputer

Ancak, yukarıdaki dosyadan dizeleri çıkardığımda, bir PowerShell betiğini çalıştıran bir Windows otomatik başlatma (RunOnce) girişi ekleyen geçerli bir Kayıt dosyası içerdiğini görebilirsiniz. Bu betik, sonunda bilgisayara bilgi çalan kötü amaçlı yazılımları indirir ve yükler.

Gizlenmemiş Windows Kayıt Defteri dosyası
Gizlenmemiş Windows Kayıt Defteri dosyası
Kaynak: BleepingComputer

Sahte düzeltmelerden herhangi birini kullanmak, Windows yeniden başlatıldıktan sonra bilgi çalan kötü amaçlı yazılımın başlatılmasına neden olur. Kötü amaçlı yazılım başlatıldığında, tarayıcınızdan kaydedilmiş kimlik bilgilerini, kredi kartlarını, çerezleri ve tarama geçmişini çıkaracaktır.

Vidar ayrıca kripto para cüzdanlarını, metin dosyalarını ve Authy 2FA kimlik doğrulayıcı veritabanlarını çalabilir ve masaüstünüzün ekran görüntülerini alabilir.

Bu veriler “günlük” adı verilen bir arşivde derlenir ve daha sonra saldırganın sunucularına yüklenir. Çalınan veriler daha sonra fidye yazılımı saldırıları gibi diğer saldırıları desteklemek için kullanılıyor veya karanlık web pazarlarındaki diğer tehdit aktörlerine satılıyor.

Ancak enfekte olmuş kullanıcı artık bir kabusla baş başa kalıyor; tüm hesapları tehlikeye giriyor ve potansiyel olarak mali dolandırıcılıkla karşı karşıya kalıyor.

Windows hataları can sıkıcı olabilir; ancak yazılımları ve düzeltmeleri yalnızca güvenilir web sitelerinden indirmek, rastgele videolardan ve az veya hiç itibarı olmayan web sitelerinden indirmemek çok önemlidir.

Kimlik bilgileriniz değerli bir ürün haline geldi ve tehdit aktörleri bunları çalmak için sinsi ve yaratıcı yöntemler buluyor. Bu nedenle ne yazık ki herkesin olağandışı saldırı yöntemlerine karşı dikkatli olması gerekiyor.

0x80070643 hatalarına gelince, WinRE bölümünü yeniden boyutlandıramıyorsanız, en iyi seçeneğiniz Microsoft’un Göster veya Gizle Aracını kullanarak KB5034441 güncelleştirmesini gizlemektir; böylece Windows Update artık sisteminizde bu güncelleştirmeyi sunmaz ve internette sihirli bir çözüm aramanıza gerek kalmaz.



Source link