Еще один жизненно важный инструмент Windows используется для загрузки вредоносных программ.
вычисления techradar.com Новости

Еще один жизненно важный инструмент Windows используется для загрузки вредоносных программ.

6 января 2023 г.

Были замечены киберпреступники, загружающие вредоносное ПО на уязвимые конечные точки Windows через Инструмент для создания отчетов о проблемах под названием WerFault.exe.

По словам исследователей из K7 Security Labs, которые первыми обнаружили эту кампанию, хакеры (предположительно из Китая) рассылали фишинговое электронное письмо, содержащее файл ISO. ISO — это файл образа оптического диска, который при запуске будет загружаться как новая буква диска (как если бы пользователь загрузил CD или DVD).

В этом случае ISO содержит чистую копию исполняемый файл WerFault.exe, а также три дополнительных файла: файл DLL с именем faultrep.dll, файл XLS с именем File.xls и файл ярлыка с именем Inventory & Our specialities.lnk.

Злоупотребление законным ПО

Жертва сначала щелкала ярлык, который запускал законный файл WerFault.exe. Учитывая, что это чистые файлы, они не вызовут тревоги антивируса.

Затем WerFault.exe попытается загрузить файл faultrep.dll, который в обычных обстоятельствах также является законным файлом, необходимым для правильной работы программы. Однако WerFault сначала будет искать файл в той же папке, где он находится, и, если DLL является вредоносной (как в данном случае), он, по сути, запустит вредоносное ПО. Этот метод называется загрузкой вредоносных программ.

Подробнее

> Преступники захватывают антивирусное программное обеспечение для доставки вредоносного ПО

> Приложения для Android "отравлены" этой ужасной вредоносной программой

> Вот наш краткий обзор лучшего программного обеспечения для защиты конечных точек на сегодняшний день

< /дел>

Согласно данным K7 Security Labs, DLL создаст два потока: один загружает в память DLL-файл троянской программы удаленного доступа Pupy (dll_pupyx64.dll), а другой открывает File.xls — файл-приманку, который служит только для сохранения жертва занята, пока вредоносное ПО загружается на конечной точке.

Pupy предоставляет злоумышленникам полный доступ к целевому устройству, позволяя им выполнять команды, красть любые данные или перемещаться по сети по своему усмотрению.

Согласно BleepingComputer Pupy использовался спонсируемыми иранским государством злоумышленниками APT33 и APT35, а также хакерами, стремившимися распространить вредоносное ПО QBot.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE

COPYRIGHT 2020 COFFEE-WEB.RU