E-Crime Project

Es wurde ein besorgniserregender Anstieg von Cyber-Bedrohungen festgestellt. Betrügerische IT-Support-Websites verbreiten gefährliche PowerShell-„Korrekturen“ für verschiedene Windows-Fehler, insbesondere für den Fehler 0x80070643. Diese bösartigen Aktivitäten zielen auf die Installation von Malware ab, die Informationen stiehlt, und wurden von der Threat Response Unit von eSentire aufgedeckt.

Sicherheitsupdate-Exploits und Malware

Das Problem begann, als Microsoft am Patch Tuesday im Januar 2024 ein Sicherheitsupdate veröffentlichte, um eine Schwachstelle in der BitLocker-Verschlüsselung zu beheben, CVE-2024-20666. Die Meldung ‚0x80070643 – ERROR_INSTALL_FAILURE‘ wurde jedoch immer häufiger angezeigt. Trotz vieler Bemühungen erschien der Fehler weiterhin.

Microsoft hat klargestellt, dass der Windows Update-Fehler irreführend war. Statt eines allgemeinen Installationsfehlers ist das eigentliche Problem ein Mangel an Speicherplatz in der Partition der Windows-Wiederherstellungsumgebung. Das Sicherheitsupdate benötigt 250 Megabyte Speicherplatz in der WinRE-Partition.

Cyberkriminelle richten gefälschte IT-Support-Websites ein, um Benutzer mit häufigen Windows-Fehlern anzusprechen. Diese Websites wirken glaubwürdiger, weil Videos auf gehackten YouTube-Kanälen veröffentlicht werden.

Im Juni 2024 fand die TRU von eSentire einen Vorfall, bei dem die Malware Vidar Stealer über eine dieser gefälschten Support-Seiten verbreitet wurde. Die Infektion begann, als ein Benutzer auf der Suche nach einer Lösung für einen Windows Update-Fehler auf der gefälschten Website landete.

Die PCHelperWizard-Seiten fordern die Benutzer auf, ein PowerShell-Skript auszuführen. Wenn Ihr dieses Skript ausführt, stellt es eine Verbindung zu einem Remote-Server her, um ein weiteres Skript herunterzuladen, das die Malware Vidar installiert. Diese Malware kann eine Menge sensibler Daten stehlen, z. B. Kennwörter, Kreditkartennummern, Cookies, den Browserverlauf, Kryptowährungs-Geldbörsen, Textdateien und sogar Daten zur Zwei-Faktor-Authentifizierung. All diese gestohlenen Daten werden dann an den Server der Angreifer gesendet, wo sie für weitere Angriffe verwendet oder auf Dark Web-Marktplätzen verkauft werden können.

In ähnlicher Weise verwendet die FixedGuides-Website eine versteckte Windows-Registrierungsdatei, um Autostarts zu verbergen. Diese Autostarts führen ein bösartiges PowerShell-Skript aus, um beim nächsten Neustart Ihres Systems eine Malware zu installieren, die Informationen stiehlt.

Die Auswirkungen sind gravierend, denn es besteht ein hohes Risiko, dass Konten kompromittiert werden und Finanzbetrug stattfindet. Es ist wichtig, dass Ihr Software und Fehlerbehebungen nur von vertrauenswürdigen Websites herunterladet und vor ungewöhnlichen Angriffsmethoden auf der Hut seid. Wenn Ihr die Größe der WinRE-Partition nicht ändern könnt, verwendet das Microsoft-Tool zum Ein- oder Ausblenden, um das problematische Update auszublenden, anstatt ungeprüfte Online-Korrekturen zu verwenden.