高薪诚聘，年入百万！

您是否还在为找不到合适的工作而苦恼？
若有人告诉你“境外高薪诚聘”“月入十万”“报销机票”“稳赚不赔”你会心动吗？

近年来，不断有人被所谓海外“高薪招聘”信息所诱惑幻想着能一夜暴富然而，等待他们的并不是年薪百万的工作而是被限制人身自由遭受挨饿、毒打、电击等惩罚甚至被残害肢体、割取器官更有甚者，直接命丧他乡 

“高薪招聘”是骗子的套路

骗你才是他的目的

以下真实案例就发生在我们身边

务必引以为戒！

案例一

2024年3月，甘孜州民警在昆明长水国际机场成功将准备赴柬埔寨务工的降先生劝返回家。经查，降先生赋闲在家，经朋友介绍，在微信上认识了一位自称在柬埔寨开酒店的“黄总”。闲聊之余，“黄总”邀请降先生到自己酒店上班，称月薪高达十万元，并承诺报销往返全部费用，降先生欣然答应，并按照对方安排的行程前往云南昆明。甘孜州丹巴县公安局接到线索后，立即联系降先生及其家属，最终将人拦截在了昆明长水国际机场，在办案民警苦口婆心的劝说下，降先生终于幡然醒悟，打消了出境的念头，并且表示今后一定提高警惕，避免再次上当被骗。

案例二

2024年5月，张先生到甘孜州丹巴县公安局报警，称其正在读大学的儿子小张“失联”了，有可能会从云南边境偷渡出境。丹巴县公安局立即组织警力开展核查并将该情况逐级上报，五日后，民警成功在云南边境将小张挡获并将其劝返。原来，2024年5月初，小张在校外某网吧上网时，看见一张“高薪招聘”的小卡片广告，便扫描卡片上的二维码添加好友，对方让小张去西双版纳边境取名贵手表，成功将手表带回即可获取10万元的高额报酬，且路途有人对接，往返费用全报销。于是，小张便将此事告知了张先生，但张先生不相信会有这么简单高薪的工作，并且担心是否涉嫌偷渡、走私等犯罪。小张却沉浸在高薪诱惑下，不再接听张先生的电话，一意孤行地去“赚钱”了。警方挡获时，小张正在自西双版纳开往中缅边境的小车上，同车人员加司机共计5人。司机在到案后供述，若非警方挡获，车上的4名乘客都会被运往缅甸从事电信网络诈骗工作。目前，该司机已被警方依法刑事拘留，案件正在进一步侦办中。

  温馨提醒  

1、不法分子以“收入可观、工作轻松、上班自由”等幌子，大肆组织、拉拢、欺骗、利诱一些求职者前往境外务工，实则是从事电信网络诈骗活动。

2、在境外不法分子的控制殴打下，部分受害人会向国内亲友哀求巨额赎金，但赎金到账未必能换受害人回国；部分受害人甚至会在胁迫下以“高薪”招工为诱饵，诱骗自己的亲友出境。

3、广大群众一定要保持头脑清醒，进一步增强自身法律意识和风险防范意识，寻求正规就业途径，认真甄选求职信息，不要被“高薪”冲昏头脑。

Windows 修复漏洞遭利用，推送恶意脚本

虚假的 IT 支持网站宣传针对常见 Windows 错误（如 0x80070643 错误）的恶意 PowerShell“修复”，以使用窃取信息的恶意软件感染设备。

这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现，它们通过已被入侵和劫持的 YouTube 频道进行推广，以增加内容创建者的合法性。

具体来说，威胁行为者正在制作虚假视频，宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。

在 2024 年 1 月补丁星期二期间，微软发布了安全更新以修复 BitLocker 加密绕过漏洞，该漏洞被追踪为 CVE-2024-20666。

安装更新后，全球的 Windows 用户报告称，在尝试安装更新时收到“0x80070643 - ERROR_INSTALL_FAILURE”，无论他们如何努力，该错误都不会消失。

“安装更新时出现一些问题，但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息，这可能会有所帮助：（0x80070643）”，Windows 更新错误显示。

Windows 更新中的 0x80070643

事实证明，Windows Update 显示了不正确的错误消息，因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。

微软解释称，新的安全更新要求 WinRE 分区有 250MB 的可用空间，如果没有，则必须自行手动扩展该分区。

但是，对于那些 WinRE 不是驱动器上的最后一个分区的人来说，扩展 WinRE 分区很复杂，甚至是不可能的。

因此，许多人无法安装安全更新，并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。

这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。

虚假 IT 网站宣传 PowerShell 修复程序

据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。

eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。”

“当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。”

研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。

就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。

YouTube 上宣传的虚假 IT 支持网站

这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。

无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。

eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。

伪装成 Windows 错误修复程序的恶意 PowerShell 脚本

该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。

脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。

FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。

混淆的 Windows 注册表文件

但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。

未混淆的 Windows 注册表文件

使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。

Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。

这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。

然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。

虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。

您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。

至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。

文章来源 ：熊猫反诈、E安全

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍