黑客滥用 Windows 问题报告 (WerFault.exe) 错误报告工具,使用 DLL 旁加载技术将恶意软件加载到受感染系统的内存中。
使用此 Windows 可执行文件是通过合法的 Windows 可执行文件启动恶意软件,从而在不对被破坏的系统发出任何警报的情况下隐蔽地感染设备。
K7 Security Labs发现了新的活动 ,该实验室无法识别黑客,但据信他们位于中国。
滥用 WerFault.exe
恶意软件活动始于一封带有 ISO 附件的电子邮件。双击时,ISO 将自身挂载为一个新的驱动器盘符,其中包含 Windows WerFault.exe 可执行文件的合法副本、一个 DLL 文件(“faultrep.dll”)、一个 XLS 文件(“File.xls”)和一个快捷方式文件(’inventory & our specialties.lnk’)。
来源中包含的文件:K7 Labs
受害者通过单击快捷方式文件启动感染链,该快捷方式文件使用“scriptrunner.exe”来执行 WerFault.exe。
WerFault 是 Windows 10 和 11 中使用的标准 Windows 错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误。
Windows 使用该工具报告错误并接收潜在的解决方案建议。
防病毒工具通常信任 WerFault,因为它是由 Microsoft 签名的合法 Windows 可执行文件,因此在系统上启动它通常不会触发警报来警告受害者。
当启动 WerFault.exe 时,它将使用 已知的 DLL 侧载缺陷 来加载 ISO 中包含的恶意“faultrep.dll”DLL。
通常,’faultrep.dll’ 文件是 Microsoft 在 C:\Windows\System 文件夹中为 WerFault 正确运行所需的合法 DLL。但是,ISO 中的恶意 DLL 版本包含用于启动恶意软件的附加代码。
创建与合法 DLL 同名的恶意 DLL 以便加载它的技术称为 DLL sideloading。
DLL sideloading 要求 DLL 的恶意版本与调用它的可执行文件位于同一目录中。当可执行文件启动时,只要它具有相同的名称,Windows 就会优先于其本机 DLL。
在此攻击中加载 DLL 时,它将创建两个线程,一个将 Pupy Remote Access Trojan 的 DLL (‘dll_pupyx64.dll’) 加载到内存中,另一个打开包含的 XLS 电子表格作为诱饵。
来源:K7 Labs
Pupy RAT 是一种用 Python 编写的开源和 公开可用的恶意软件,它支持反射 DLL 加载以逃避检测,并且稍后会下载其他模块。
该恶意软件允许威胁行为者获得对受感染设备的完全访问权限,使他们能够执行命令、窃取数据、安装更多恶意软件或通过网络横向传播。
作为一种开源工具,它已被 伊朗 APT33 和 APT35 组织等多个国家支持的间谍活动参与者使用 ,因为这些工具使归属和持续操作更难追踪。
去年夏天, QBot 恶意软件分发者被发现采用了 类似的攻击链 ,滥用 Windows 计算器来逃避安全软件的检测。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客滥用Windows错误报告工具部署恶意软件
