Les faux sites d’assistance informatique font la promotion de « correctifs » malveillants PowerShell pour les erreurs Windows courantes, comme l’erreur 0x80070643, afin d’infecter les appareils avec des logiciels malveillants voleurs d’informations.
Découverts pour la première fois par l’Unité de réponse aux menaces (TRU) d’eSentire, les faux sites d’assistance sont promus via des chaînes YouTube qui ont été compromises et détournées pour ajouter de la légitimité au créateur de contenu.
En particulier, les acteurs de la menace créent de fausses vidéos faisant la promotion d’un correctif pour l’erreur 0x80070643 à laquelle des millions d’utilisateurs de Windows sont confrontés depuis janvier.
Au cours du Patch Tuesday de janvier 2024, Microsoft a publié des mises à jour de sécurité pour corriger une faille de contournement du cryptage BitLocker, qui est suivie comme CVE-2024-20666.
Après avoir installé la mise à jour, les utilisateurs de Windows du monde entier ont signalé avoir reçu « 0x80070643 – ERROR_INSTALL_FAILURE » lors de la tentative d’installation de la mise à jour, ce qui ne disparaîtrait pas, peu importe leurs efforts.
« Il y a eu quelques problèmes lors de l’installation des mises à jour, mais nous réessayerons plus tard. Si vous continuez à voir cela et que vous souhaitez effectuer une recherche sur le Web ou contacter le support pour obtenir des informations, cela peut vous aider: (0x80070643) », lit l’erreur Windows Update.
Il s’avère que Windows Update affiche un message d’erreur incorrect, car il était censé afficher une erreur CBS_E_INSUFFICIENT_DISK_SPACE sur les systèmes avec une partition Windows Recovery Environment (WinRE) trop petite pour que la mise à jour puisse être installée.
Microsoft a expliqué que la nouvelle mise à jour de sécurité nécessite que la partition WinRE dispose de 250 mégaoctets d’espace libre, et si ce n’est pas le cas, vous devez développer manuellement la partition vous-même.
Cependant, l’extension de la partition WinRE est compliquée, voire impossible, pour ceux dont WinRE n’est pas la dernière partition du lecteur.
Pour cette raison, beaucoup ne peuvent pas installer la mise à jour de sécurité et se retrouvent avec le message d’erreur 0x80070643 chaque fois qu’ils utilisent Windows Update.
Ces erreurs ont poussé de nombreux utilisateurs Windows frustrés à rechercher une solution en ligne, permettant aux auteurs de menaces de capitaliser sur leur recherche d’un correctif.
Les faux sites informatiques font la promotion des correctifs PowerShell
Selon eSentire, les acteurs de la menace créent de nombreux faux sites de support informatique spécialement conçus pour aider les utilisateurs avec les erreurs Windows courantes,en se concentrant fortement sur l’erreur 0x80070643.
« En juin 2024, l’Unité de réponse aux menaces (TRU) d’eSentire a observé un cas intrigant impliquant une infection Vidar Stealer initiée via un faux site Web d’assistance informatique (Figure 1) », explique le rapport d’eSentire.
« L’infection a commencé lorsque la victime a effectué une recherche sur le Web pour trouver des solutions à un code d’erreur Windows Update. »
Les chercheurs ont découvert deux faux sites de support informatique promus sur YouTube nommés pchelprwizzards[.] com et guide des artisans[.] com. En écrivant cet article, Breachtrace a trouvé des sites supplémentaires sur pchelprwizardpro[.] avec, pchelperviseur[.] com, et des guides fixes[.] com.
Comme les autres vidéos essentielles trouvées pour les sites de fautes de frappe PCHelperWizard, Breachtrace a également trouvé des vidéos YouTube pour le site FixedGuides, faisant également la promotion de correctifs pour les erreurs 0x80070643.
Ces sites proposent tous des correctifs qui vous obligent à copier et à exécuter un script PowerShell ou à importer le contenu d’un fichier de registre Windows.
Quelle que soit la « solution » utilisée, un script PowerShell sera exécuté pour télécharger des logiciels malveillants sur l’appareil.
Le rapport d’eSentire décrit comment les sites PCHelperWizard (à ne pas confondre avec le site de cours légitime) guideront les utilisateurs à travers la copie d’un script PowerShell dans le Presse-papiers Windows et l’exécuteront dans une invite PowerShell.
Ce script PowerShell contient un script codé en Base64 qui se connectera à un serveur distant pour télécharger un autre script PowerShell, qui installe le logiciel malveillant Vidar volant des informations sur l’appareil.
Lorsque le script est terminé, il affichera un message indiquant que le correctif a réussi et pour redémarrer l’ordinateur, ce qui lancera également le logiciel malveillant.
Le site Fixed Guides le fait un peu différemment, en utilisant un fichier de registre Windows obscurci pour masquer les démarrages automatiques qui lancent un script PowerShell malveillant.
Cependant, lorsque j’ai extrait les chaînes du fichier ci-dessus, vous pouvez voir qu’il contient un fichier de registre valide qui ajoute une entrée de démarrage automatique Windows (RunOnce) qui exécute un script PowerShell. Ce script télécharge et installe finalement des logiciels malveillants voleurs d’informations sur l’ordinateur.
L’utilisation de l’un ou l’autre des faux correctifs entraînera le lancement du logiciel malveillant de vol d’informations après le redémarrage de Windows. Une fois démarré, le logiciel malveillant extraira les informations d’identification enregistrées, les cartes de crédit, les cookies et l’historique de navigation de votre navigateur.
Vidar peut également voler des portefeuilles de crypto-monnaie, des fichiers texte et des bases de données d’authentification Authy 2FA, ainsi que prendre des captures d’écran de votre bureau.
Ces données sont compilées dans une archive appelée « journal », qui est ensuite téléchargée sur les serveurs de l’attaquant. Les données volées sont ensuite utilisées pour alimenter d’autres attaques, telles que des attaques par ransomware, ou vendues à d’autres acteurs de la menace sur les places de marché du dark Web.
Cependant, l’utilisateur infecté se retrouve maintenant avec un cauchemar, tous ses comptes étant compromis et potentiellement victime de fraude financière.
Bien que les erreurs Windows puissent être ennuyeuses, il est crucial de télécharger des logiciels et des correctifs uniquement à partir de sites Web de confiance, et non à partir de vidéos aléatoires et de sites Web peu ou pas réputés.
Vos identifiants sont devenus une marchandise précieuse et les acteurs de la menace proposent des méthodes sournoises et créatives pour les voler, donc malheureusement, tout le monde doit rester vigilant contre les méthodes d’attaque inhabituelles.
En ce qui concerne les erreurs 0x80070643, si vous ne parvenez pas à redimensionner la partition WinRE, votre meilleur pari est d’utiliser l’outil Afficher ou Masquer de Microsoft pour masquer la mise à jour KB5034441 afin que Windows Update ne l’offre plus sur votre système et ne recherche pas sur Internet un correctif magique.