Wykryto cyberprzestępców przesyłających złośliwe oprogramowanie (otwiera się w nowej karcie) do wrażliwych punktów końcowych systemu Windows za pośrednictwem legalnego narzędzia do zgłaszania błędów systemu Windows o nazwie WerFault.exe.
Według badaczy z K7 Security Labs, którzy jako pierwsi odkryli tę kampanię, hakerzy (prawdopodobnie z Chin) wysyłali wiadomość e-mail zawierającą plik ISO. ISO to plik obrazu dysku optycznego, który po uruchomieniu jest ładowany jako nowa litera dysku (tak jakby użytkownik ładował dysk CD lub DVD).
W tym przypadku plik ISO zawiera czystą kopię pliku wykonywalnego WerFault.exe oraz 3 dodatkowe pliki: plik DLL o nazwie faultrep.dll, plik XLS o nazwie File.xls oraz plik skrótu o nazwie Inventory & Our specialties .lnk .
Uzasadnione nadużycie oprogramowania
Ofiara najpierw kliknie plik skrótu, który uruchomi legalny plik WerFault.exe. Ponieważ są to czyste pliki, nie wywołają żadnych alarmów antywirusowych.
WerFault.exe spróbuje następnie załadować plik faultrep.dll, który w normalnych okolicznościach jest również prawidłowym plikiem potrzebnym do prawidłowego uruchomienia programu. Jednak WerFault najpierw wyszuka plik w tym samym folderze, w którym się znajduje, a jeśli biblioteka DLL jest złośliwa (tak jak tutaj), zasadniczo wykona złośliwe oprogramowanie. Technika ta nazywana jest złośliwym oprogramowaniem transferu bocznego.
Według K7 Security Labs biblioteka DLL utworzy dwa wątki, jeden, który ładuje bibliotekę DLL trojana Pupy Remote Access (dll_pupyx64.dll) do pamięci, a drugi, który otwiera plik File.xls, plik roszczenia, którego jedynym celem jest nieprzechowywanie ofiara jest zajęta, podczas gdy złośliwe oprogramowanie ładuje się do terminala.
Pupy zapewnia hakerom pełny dostęp do urządzenia docelowego, umożliwiając im wykonywanie poleceń, kradzież danych lub wędrowanie po sieci według własnego uznania.
Według BleepingComputer, Pupy był wykorzystywany przez sponsorowanych przez państwo irańskich cyberprzestępców APT33 i APT35, a także przez hakerów starających się rozpowszechniać złośliwe oprogramowanie QBot.
Przez: BleepingComputer (otwiera się w nowej karcie)