Еще один жизненно важный инструмент Windows используется для загрузки вредоносных программ.

Были замечены киберпреступники, загружающие вредоносное ПО на уязвимые конечные точки Windows через Инструмент для создания отчетов о проблемах под названием WerFault.exe.

По словам исследователей из K7 Security Labs, которые первыми обнаружили эту кампанию, хакеры (предположительно из Китая) рассылали фишинговое электронное письмо, содержащее файл ISO. ISO — это файл образа оптического диска, который при запуске будет загружаться как новая буква диска (как если бы пользователь загрузил CD или DVD).

В этом случае ISO содержит чистую копию исполняемый файл WerFault.exe, а также три дополнительных файла: файл DLL с именем faultrep.dll, файл XLS с именем File.xls и файл ярлыка с именем Inventory & Our specialities.lnk.

Злоупотребление законным ПО

Жертва сначала щелкала ярлык, который запускал законный файл WerFault.exe. Учитывая, что это чистые файлы, они не вызовут тревоги антивируса.

Затем WerFault.exe попытается загрузить файл faultrep.dll, который в обычных обстоятельствах также является законным файлом, необходимым для правильной работы программы. Однако WerFault сначала будет искать файл в той же папке, где он находится, и, если DLL является вредоносной (как в данном случае), он, по сути, запустит вредоносное ПО. Этот метод называется загрузкой вредоносных программ.