In seguito alla visualizzazione di un messaggio di errore durante l’installazione della patch per una vulnerabilità di BitLocker, molti utenti hanno cercato online una soluzione. Ignoti cybercriminali hanno quindi creato falsi siti di supporto per distribuire un fix per il bug. In realtà, sul computer delle vittime viene scaricato un info-stealer che sottrae numerosi dati sensibili.
Falso fix installa malware
In occasione del Patch Tuesday di gennaio, Microsoft ha rilasciato l’aggiornamento che risolve la vulnerabilità CVE-2024-20666 presente in BitLocker. Durante la procedura di installazione è stato mostrato l’errore 0x80070643. Microsoft ha però specificato che il messaggio doveva indicare l’impossibilità di proseguire a causa delle dimensioni ridotte della partizione Windows Recovery Environment.
Gli utenti hanno quindi cercato online la soluzione al problema. I cybercriminali hanno sfruttato l’occasione per creare siti di supporto fasulli che forniscono un ipotetico fix per il bug di Windows Update. Cercando informazioni sull’errore 0x80070643, alcuni utenti hanno trovato siti pubblicizzati tramite canali YouTube compromessi (quindi i video sembravano attendibili).
Questi siti fasulli ospitano uno script PowerShell che dovrebbe “sbloccare” Windows Update e quindi consentire l’installazione della suddetta patch. Quando l’ignara vittima esegue lo script viene scaricato da un server remoto un secondo script PowerShell che installa il famigerato Vidar sul computer.
Al termine viene chiesto all’utente di riavviare il computer. In questo modo, l’info-stealer viene eseguito e inizia a raccogliere numerosi dati, tra cui credenziali di login, cronologia di navigazione e cookie dai browser. Vidar ruba inoltre i wallet di criptovalute, accede al database di Authy e cattura screenshot dello schermo. I dati vengono inviati al server remoto e i cybercriminali possono usarli per futuri attacchi o venderli nel dark web.