אתרי תמיכת IT מזויפים מקדמים 'תיקוני PowerShell' זדוניים עבור שגיאות נפוצות של Windows, כמו השגיאה 0x80070643, כדי להדביק מערכות מחשוב בנוזקות גניבת מידע. אתרי התמיכה המזויפים, שהתגלו לראשונה על ידי יחידת התגובה לאיומי סייבר של eSentire, מקודמים דרך ערוצי יוטיוב שנפרצו ונחטפו, כדי להוסיף לגיטימציה ליוצר התוכן. פושעי הסייבר יוצרים סרטונים מזויפים המקדמים תיקון לשגיאה 0x80070643 איתה מתמודדים מיליוני משתמשי Windows מאז ינואר.
לפי eSentire, יצרו פושעי סייבר מספר רב של אתרי תמיכת IT מזויפים שנועדו 'לעזור' למשתמשים עם שגיאות נפוצות של Windows, תוך התמקדות רבה בשגיאה 0x80070643: "ביוני 2024 זיהתה יחידת התגובה לאיומי סייבר של eSentire במקרה הכולל זיהום של Vidar Stealer. ההדבקה החלה כאשר הקורבן ביצע חיפוש באינטרנט אחר פתרונות לקוד שגיאה של Windows Update."
חוקרי הסייבר מצאו שני אתרי תמיכת IT מזויפים שקודמו ב- YouTube בשם pchelprwizzards[.]com ו- phelprwizardsguide[.]com. אנשי אתר BleepingComputer מצאו אתרים נוספים: phelprwizardpro[.]com, pchelperwizard[.]com ו- fixedguides[.]com. אתרים אלו מציעים כולם תיקונים המחייבים את המשתמש להעתיק ולהריץ סקריפט PowerShell או לייבא את התוכן של קובץ הרישום של Windows. חשוב לציין כי לא משנה באיזה 'פתרון' נעשה שימוש, יתבצע סקריפט PowerShell אשר מוריד נוזקות למחשב. סקריפט PowerShell זה מכיל סקריפט מקודד Base64 המתחבר לשרת מרוחק כדי להוריד סקריפט PowerShell אחר המתקין את נוזקת גניבת המידע Vidar במחשב. כאשר הסקריפט מסתיים, הוא מציג הודעה שהתיקון הצליח ויש להפעיל מחדש את המחשב, שיפעיל גם את הנוזקה. לאחר הפעלה מחדש של Windows תחלץ הנוזקה מהדפדפן פרטי גישה שמורים (שמות משתמשים וסיסמאות), כרטיסי אשראי, קובצי Cookie והיסטוריית גלישה. נוזקת Vidar יכולה גם לגנוב ארנקי מטבעות קריפטוגרפיים, קבצי טקסט ומסדי נתונים של Authy 2FA Authenticator, כמו גם לצלם צילומי מסך של שולחן העבודה.
שימוש בכל אחד מהתיקונים המזויפים יגרום להפעלת נוזקת גניבת המידע. נתונים אלו נאספים לארכיון הנקרא 'יומן', אשר מועלה לאחר מכן לשרתים של פושעי הסייבר. הנתונים הגנובים משמשים לאחר מכן כדי לתדלק מתקפות סייבר אחרות כמו מתקפות כופרה, או שהנתונים נמכרים לפושעי סייבר אחרים בשווקי רשת האינטרנט האפלה. הקורבן נותר כעת עם סיוט, כשכל חשבונותיו נפגעו והוא עלול לסבול מהונאה פיננסית.
אמנם שגיאות Windows יכולות להיות מעצבנות, אך חיוני להוריד תוכנות ותיקונים רק מאתרים מהימנים, לא מסרטונים ואתרים אקראיים בעלי מוניטין מועט או ללא מוניטין כלל. אישורי גישה הפכו למצרך בעל ערך ופושעי סייבר מפעילים שיטות ערמומיות ויצירתיות כדי לגנוב אותם.
