假冒IT支持网站推送恶意PowerShell脚本作为Windows修复

假冒IT支持网站正在利用0x80070643等常见的Windows更新错误,通过恶意PowerShell脚本传播窃取信息的恶意软件。据报道,eSentire的威胁响应部门首次发现这些网站通过劫持YouTube频道进行推广,以增加其合法性。它们的目标是那些因该错误而感到沮丧的用户,该错误源于某些系统的WinRE分区过大。 这些欺骗性网站提供的所谓修复方法包括复制并运行PowerShell脚本或导入Windows注册表文件。然而,这些脚本实际上会下载并安装Vidar恶意软件,从而泄露用户的个人数据,包括凭证、信用卡甚至加密货币钱包。被盗信息随后会被用于进一步的攻击或在暗网市场上出售。 专家强调,只能从可信来源下载软件和修复程序,并建议使用微软的“显示或隐藏工具”来管理有问题的更新,而不是在网上寻找快速解决方法。在网络犯罪分子越来越多地采用复杂手段利用系统错误并窃取宝贵的用户数据的情况下,保持警惕至关重要。