Ошибка 0x80070643: обращение в техподдержку приводит к установке вредоносного ПО

[Artifact]

Поиск решения проблемы на YouTube не всегда может быть полезен.

В сети появились фейковые сайты техподдержки, которые предлагают решения для устранения распространенных ошибок Windows, таких как ошибка 0x80070643. Поддельные ресурсы заражают устройства инфостилерами.
Впервые о проблеме https://www.esentire.com/what-we-do/...-response-unitспециалисты из eSentire. По данным компании, злоумышленники используют взломанные YouTube-каналы для продвижения фальшивых программ, придавая им видимость легитимности. В частности, поддельные видеоролики рекламируют исправление ошибки 0x80070643, с которой миллионы пользователей Windows сталкиваются с января.
В январе Microsoft выпустила обновление безопасности для устранения уязвимости BitLocker ( CVE-2024-20666 ). Однако после установки обновления многие пользователи начали получать сообщение об ошибке 0x80070643 - ERROR_INSTALL_FAILURE. Ошибка была вызвана нехваткой места на разделе Windows Recovery Environment (WinRE), что требовало его увеличения до 250 МБ. Однако манипуляции с разделом WinRE сложны и не всегда возможны, что оставило многих пользователей с нерешенной проблемой и постоянными сбоями при обновлении.
Разочарованные пользователи стали искать решения в интернете, чем и воспользовались киберпреступники, которые создали множество фейковых сайтов техподдержки (pchelprwizzards[.]com, pchelprwizardsguide[.]com, fixguides[.]com и другие). На сайтах предлагается либо скопировать и запустить PowerShell-скрипт, либо импортировать содержимое файла реестра Windows. Независимо от метода, запуск PowerShell-скрипта приводит к загрузке на устройство инфостилера.

Поддельные сайты ИТ-поддержки рекламируются в видео на YouTube
Один из таких скриптов, закодированный в Base64, подключается к удаленному серверу для загрузки другого скрипта, который устанавливает на устройство вредоносное ПО Vidar.

Вредоносный скрипт, замаскированный под исправление ошибок Windows
После выполнения скрипта пользователю выводится сообщение об успешном исправлении и рекомендации перезагрузить компьютер, что активирует вредоносное ПО. Сайт FixedGuides использует запутанный файл реестра Windows, чтобы скрыть автозапуск, который запускает вредоносный PowerShell-скрипт.
Запуск фейковых исправлений приводит к активации вредоносного ПО, которое крадет сохраненные пароли, данные кредитных карт, куки и историю браузера. Vidar также может угонять криптовалютные кошельки, похищать текстовые файлы и базы данных аутентификаторов Authy 2FA, а также делать скриншоты рабочего стола.
Все собранные данные загружаются на серверы злоумышленников, где используются для дальнейших атак программ-вымогателей или продаются в даркнете.
Зараженный пользователь сталкивается с серьёзными последствиями: компрометация всех аккаунтов и потенциальные финансовые потери. Поэтому, сталкиваясь с ошибками Windows, важно загружать ПО и исправления только с проверенных сайтов, а не с видео и ресурсов с сомнительной репутацией.
Для тех, кто не может увеличить раздел WinRE, специалисты рекомендуют отключить установку определенных обновлений (нужно выбрать KB5034441), например, с помощью утилиты Microsoft Show or Hide Tool.