Les faux sites d'assistance informatique font la promotion de « correctifs » PowerShell malveillants pour les erreurs Windows courantes, comme l'erreur 0x80070643, pour infecter les appareils avec des logiciels malveillants voleurs d'informations.
Découverts pour la première fois par l'unité de réponse aux menaces (TRU) d'eSentire, les faux sites d'assistance sont promus via des chaînes YouTube qui ont été compromises et détournées pour ajouter de la légitimité au créateur de contenu.
En particulier, les auteurs de la menace créent de fausses vidéos faisant la promotion d'un correctif pour l'erreur 0x80070643 à laquelle des millions d'utilisateurs de Windows sont confrontés depuis janvier.
Lors du Patch Tuesday de janvier 2024, Microsoft a publié des mises à jour de sécurité pour corriger une faille de contournement du chiffrement BitLocker, qui est suivie comme CVE-2024-20666.
Après avoir installé la mise à jour, les utilisateurs Windows du monde entier ont signalé avoir reçu « 0x80070643 – ERROR_INSTALL_FAILURE » lors de la tentative d'installation de la mise à jour, qui ne disparaissait pas, quels que soient leurs efforts.
« Des problèmes sont survenus lors de l'installation des mises à jour, mais nous réessayerons plus tard. Si vous continuez à voir ce message et que vous souhaitez effectuer une recherche sur le Web ou contacter le support pour obtenir des informations, cela peut vous aider : (0x80070643) », peut-on lire sur l'erreur Windows Update.
Il s'avère que Windows Update affiche un message d'erreur incorrect, car il était censé afficher une erreur CBS_E_INSUFFICIENT_DISK_SPACE sur les systèmes dotés d'une partition Windows Recovery Environment (WinRE) trop petite pour que la mise à jour puisse être installée.
Microsoft a expliqué que la nouvelle mise à jour de sécurité nécessite que la partition WinRE dispose de 250 mégaoctets d'espace libre, et si ce n'est pas le cas, vous devez étendre manuellement la partition vous-même.
Cependant, l’extension de la partition WinRE est compliquée, voire impossible, pour ceux dont WinRE n’est pas la dernière partition du disque.
De ce fait, de nombreuses personnes ne parviennent pas à installer la mise à jour de sécurité et se retrouvent avec le message d’erreur 0x80070643 à chaque fois qu’elles utilisent Windows Update.
Ces erreurs ont poussé de nombreux utilisateurs Windows frustrés à rechercher une solution en ligne, permettant ainsi aux acteurs malveillants de capitaliser sur leur recherche d'un correctif.
De faux sites informatiques font la promotion des correctifs PowerShell
Selon eSentire, les acteurs malveillants créent de nombreux faux sites d'assistance informatique spécifiquement conçus pour aider les utilisateurs à résoudre les erreurs Windows courantes, en se concentrant principalement sur l'erreur 0x80070643.
« En juin 2024, eSentire Unité de réponse aux menaces (TRU) « Nous avons observé un cas intrigant impliquant une infection par Vidar Stealer initiée via un faux site Web de support informatique (Figure 1) », explique le Rapport eSentire.
« L'infection a commencé lorsque la victime a effectué une recherche sur le Web pour trouver des solutions à un code d'erreur de mise à jour Windows. »
Les chercheurs ont découvert deux faux sites d'assistance informatique promus sur YouTube nommés pchelprwizzards.[.]com et pchelprwizardsguide[.]com. En écrivant cet article, BleepingComputer a trouvé des sites supplémentaires sur pchelprwizardpro[.]avec, phelperwizard[.]com et fixedguides[.]com.
Comme les autres vidéos trouvées par eSentire pour les sites de fautes de frappe PCHelperWizard, BleepingComputer a également trouvé des vidéos YouTube pour le site FixedGuides, promouvant également des correctifs pour les erreurs 0x80070643.
Ces sites proposent tous des correctifs qui vous obligent soit à copier et exécuter un script PowerShell, soit à importer le contenu d'un fichier de registre Windows.
Quelle que soit la « solution » utilisée, un script PowerShell sera exécuté et téléchargera des logiciels malveillants sur l'appareil.
Le rapport d'eSentire décrit comment les sites PCHelperWizard (à ne pas confondre avec le site de cours légitime) guideront les utilisateurs dans la copie d'un script PowerShell dans le Presse-papiers Windows et l'exécuteront dans une invite PowerShell.
Ce script PowerShell contient un script codé en Base64 qui se connectera à un serveur distant pour télécharger un autre script PowerShell, qui installe le logiciel malveillant de vol d'informations Vidar sur l'appareil.
Une fois le script terminé, il affichera un message indiquant que la correction a réussi et demandant de redémarrer l'ordinateur, ce qui lancera également le malware.
Le site FixedGuides le fait un peu différemment, en utilisant un fichier de registre Windows obscurci pour masquer les démarrages automatiques qui lancent un script PowerShell malveillant.
Cependant, lorsque j'ai extrait les chaînes du fichier ci-dessus, vous pouvez voir qu'il contient un fichier de registre valide qui ajoute une entrée de démarrage automatique Windows (RunOnce) qui exécute un script PowerShell. Ce script télécharge et installe finalement des logiciels malveillants qui volent des informations sur l'ordinateur.
L’utilisation de l’un ou l’autre faux correctif entraînera le lancement du logiciel malveillant voleur d’informations après le redémarrage de Windows. Une fois démarré, le malware extraira les informations d’identification enregistrées, les cartes de crédit, les cookies et l’historique de navigation de votre navigateur.
Vidar peut également voler des portefeuilles de crypto-monnaie, des fichiers texte et des bases de données d'authentification Authy 2FA, ainsi que prendre des captures d'écran de votre bureau.
Ces données sont compilées dans une archive appelée « journal », qui est ensuite téléchargée sur les serveurs de l'attaquant. Les données volées sont ensuite utilisées pour alimenter d'autres attaques, telles que des attaques par ransomware, ou vendues à d'autres acteurs malveillants sur les marchés du dark web.
Cependant, l'utilisateur infecté se retrouve désormais confronté à un cauchemar : tous ses comptes sont compromis et il risque d'être victime d'une fraude financière.
Bien que les erreurs Windows puissent être ennuyeuses, il est crucial de télécharger les logiciels et les correctifs uniquement à partir de sites Web fiables, et non à partir de vidéos aléatoires et de sites Web peu ou pas réputés.
Vos informations d’identification sont devenues une denrée précieuse et les acteurs malveillants proposent des méthodes sournoises et créatives pour les voler. Malheureusement, tout le monde doit rester vigilant face aux méthodes d’attaque inhabituelles.
En ce qui concerne les erreurs 0x80070643, si vous ne parvenez pas à redimensionner la partition WinRE, votre meilleure option est d'utiliser Outil Afficher ou Masquer de Microsoft pour masquer la mise à jour KB5034441 afin que Windows Update ne la propose plus sur votre système et ne pas chercher sur Internet une solution magique.