Windows 修复漏洞遭利用，推送恶意脚本

Windows 更新中的 0x80070643

这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。

虚假 IT 网站宣传 PowerShell 修复程序

据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。

eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。”

“当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。”

研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。

就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。

这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。

伪装成 Windows 错误修复程序的恶意 PowerShell 脚本

该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。

混淆的 Windows 注册表文件

但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。

未混淆的 Windows 注册表文件

使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。

虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。

您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。

至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。

原文始发于微信公众号（安全圈）：【安全圈】Windows 修复漏洞遭利用，推送恶意脚本