Еще один жизненно важный инструмент Windows используется для загрузки вредоносных программ.

Еще один жизненно важный инструмент Windows используется для загрузки вредоносных программ.

6 января 2023 г.

Были замечены киберпреступники, загружающие вредоносное ПО на уязвимые конечные точки Windows через Инструмент для создания отчетов о проблемах под названием WerFault.exe.

По словам исследователей из K7 Security Labs, которые первыми обнаружили эту кампанию, хакеры (предположительно из Китая) рассылали фишинговое электронное письмо, содержащее файл ISO. ISO — это файл образа оптического диска, который при запуске будет загружаться как новая буква диска (как если бы пользователь загрузил CD или DVD).

В этом случае ISO содержит чистую копию исполняемый файл WerFault.exe, а также три дополнительных файла: файл DLL с именем faultrep.dll, файл XLS с именем File.xls и файл ярлыка с именем Inventory & Our specialities.lnk.

Злоупотребление законным ПО

Жертва сначала щелкала ярлык, который запускал законный файл WerFault.exe. Учитывая, что это чистые файлы, они не вызовут тревоги антивируса.

Затем WerFault.exe попытается загрузить файл faultrep.dll, который в обычных обстоятельствах также является законным файлом, необходимым для правильной работы программы. Однако WerFault сначала будет искать файл в той же папке, где он находится, и, если DLL является вредоносной (как в данном случае), он, по сути, запустит вредоносное ПО. Этот метод называется загрузкой вредоносных программ.

Подробнее
< /дел>

Согласно данным K7 Security Labs, DLL создаст два потока: один загружает в память DLL-файл троянской программы удаленного доступа Pupy (dll_pupyx64.dll), а другой открывает File.xls — файл-приманку, который служит только для сохранения жертва занята, пока вредоносное ПО загружается на конечной точке.

Pupy предоставляет злоумышленникам полный доступ к целевому устройству, позволяя им выполнять команды, красть любые данные или перемещаться по сети по своему усмотрению.

Согласно BleepingComputer Pupy использовался спонсируемыми иранским государством злоумышленниками APT33 и APT35, а также хакерами, стремившимися распространить вредоносное ПО QBot.

Через: BleepingComputer


Оригинал