Cyberbrottslingar har upptäckts ladda upp skadlig programvara (öppnas i en ny flik) till ömtåliga Windows-slutpunkter via ett legitimt Windows-felrapporteringsverktyg som heter WerFault.exe.
Enligt forskare vid K7 Security Labs, som först upptäckte kampanjen, skickade hackarna (förmodligen från Kina) ett nätfiskemail som innehöll en ISO-fil. ISO är en optisk skivavbildsfil som, när den körs, laddas som en ny enhetsbeteckning (precis som om användaren laddade en CD eller DVD).
I det här fallet innehåller ISO en ren kopia av den körbara filen WerFault.exe plus 3 ytterligare filer: en DLL-fil med namnet faultrep.dll, en XLS-fil med namnet File.xls och en genvägsfil med namnet Inventory & Our specialties .lnk .
Legitim mjukvarumissbruk
Offret skulle först klicka på genvägsfilen, vilket skulle köra den legitima WerFault.exe-filen. Eftersom det är rena filer kommer de inte att utlösa några viruslarm.
Sedan kommer WerFault.exe att försöka ladda filen faultrep.dll som, under normala omständigheter, också är en legitim fil som behövs för att köra programmet korrekt. WerFault kommer dock först att leta efter filen i samma mapp som den finns i, och om DLL-filen är skadlig (som den är här), kommer den i huvudsak att köra skadlig programvara. Denna teknik kallas lateral transfer malware.
Enligt K7 Security Labs kommer DLL:n att skapa två trådar, en som laddar Pupy Remote Access Trojan DLL (dll_pupyx64.dll) i minnet och den andra som öppnar File.xls, en anspråksfil som inte har något annat syfte än att inte behålla offret upptagen medan skadlig programvara laddas in i terminalen.
Pupy ger hackare full åtkomst till målenheten, låter dem köra kommandon, stjäla data eller roama i nätverket som de vill.
Enligt BleepingComputer har Pupy använts av de iranska statssponsrade hotaktörerna APT33 och APT35, såväl som av hackare som vill distribuera QBot-skadlig programvara.
Via: BleepingComputer (öppnas i en ny flik)