Инструмент для уведомления об ошибках Windows используется в кибератаках

06 января 2023 г., пятница, 11:45

Киберпреступники начали использовать инструмент Windows Problem Reporting (WerFault.exe) в Windows для загрузки вредоносной программы в память ОС. Напомним, что WerFault.exe предназначен для сообщения об ошибках в работе операционной системы и установленных программ.

Для помещения вредоноса в память используется техника сторонней загрузки DLL (DLL sideloading). Такой способ позволяет незаметно заражать устройства, не вызывая алертов защитных программ, поскольку запуск зловреда происходит посредством легитимного системного файла Windows.

На новую кампанию обратили внимание специалисты K7 Security Labs. Исследователям пока не удалось точно установить происхождение киберпреступников, но есть предположение, что они из Китая.

Атака начинается с электронного письма, содержащего вложение в виде ISO-файла. При двойном клике на образе он монтирует накопитель, а внутри содержится исполняемый файл WerFault.exe, библиотека faultrep.dll, XLS-файл File.xls и ярлык “inventory & our specialties.lnk“.

Стоит жертве запустить ярлык, начинается цепочка заражения. Файл scriptrunner.exe выполняет WerFault.exe, который отвечает за отслеживание ошибок в Windows 10 и 11, а также отправке сообщений о них Microsoft.

Различные антивирусы, как правило, доверяют WerFault, поскольку эта исполняшка подписана Microsoft. После запуска инструмента вредонос использует известную уязвимость для загрузки DLL — faultrep.dll, который можно найти в ISO.

В целом faultrep.dll — вполне безобидная системная библиотека, хранящаяся в C:\Windows\System, и она необходима для корректной работы WerFault. Злоумышленники же используют вредоносную копию, часть кода которой запускает пейлоад.

После загрузки DLL создаются два потока, один из которых загружает троян Pupy в память, а другой — открывает XLS-таблицу для создания видимости легитимности процесса. Pupy может открыть оператору удалённый доступ к устройству жертвы.

Anti-Malware

нравится

не нравится

Рейтинг:

Всего голосов: 0

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Инструмент для уведомления об ошибках Windows используется в кибератаках

Добавить комментарий к новости