Hakerzy rozpowszechniają malware, używając narzędzia do raportowania błędów w Windows

Maksym SłomskiSkomentuj
Hakerzy rozpowszechniają malware, używając narzędzia do raportowania błędów w Windows
Cyberprzestępcy coraz mocniej prześcigają się w opracowywaniu kreatywnych sposobów na rozpowszechnianie malware, przeprowadzanie ataków phishingowych i tym podobnych. Jak się okazuje, teraz jeden z tych sposobów obejmuje nadużywanie narzędzia będącego częścią systemu Windows 10 i Windows 11, a dokładniej narzędzia służącego do raportowania błędów – WerFault.exe.

WerFault.exe to standardowe narzędzie wykorzystywane przez Windows 10 i Windows 11 do śledzenia i przekazywania informacji o błędach powiązanych z systemem operacyjnym lub aplikacjami. Informuje też ono użytkownika o tym, że system Windows wyszukuje rozwiązania problemu.

Programy antywirusowe z reguły ufają WerFault.exe, ponieważ jest to plik wykonywalny samego Microsoftu. Jak hakerzy zdecydowali się wykorzystać ten fakt?

Atak z użyciem kopii systemowych plików

Cyberprzestępcy rozsyłają wiadomości email z załącznikiem ISO (obrazem płyty). Po dwukrotnym kliknięciu na plik ISO lewym przyciskiem myszy automatycznie montuje się on w wirtualnym napędzie wraz z literą dysku. Zawiera on kopię wspomnianego pliku wykonywalnego – WerFault.exe, a także plik DLL (faultrep.dll), plik XLS (file.xls) i skrót w postaci pliku inventory & our specialties.lnk.

Infekcja komputera rozpoczyna się poprzez kliknięcie przez użytkownika we wspomniany skrót. Ten wykorzystuje plik scriptrunner.exe do aktywacji pliku WerFault.exe. Uruchomiony plik WerFault.exe wykorzystuje tak zwany DLL sideloading, by aktywować z kolei złośliwy plik faultrep.dll znajdujący się na obrazie płyty. DLL sideloading polega na tworzeniu złośliwych wersji plików DLL o tej samej nazwie, jak oryginalne pliki.

Oczywiście, plik DLL o tej samej nazwie faultrep.dll jest częścią systemu Windows i można znaleźć go, podążając ścieżką C:WindowsSystem32. Jest on potrzebny, by polecenie WerFault działało poprawnie. Niemniej, wersja pliku rozpowszechniana przez hakerów posiada dodatkowy kod infekujący komputer złośliwym oprogramowaniem.

windows-trojan

Schemat rozpowszechniania złośliwego oprogramowania za pośrednictwem WerFault.exe | Źródło: K7 Security Labs

Sposób na infekcję trojanem

Złośliwe oprogramowanie rozpowszechniane omówioną metodą to trojan Pupy Remote Access (Pupy RAT). Trojan ten pozwala cyberprzestępcom uzyskać pełny dostęp do zainfekowanych urządzeń. Dzięki niemu mogą oni aktywować na tych urządzeniach komendy, instalować kolejne złośliwe oprogramowanie, a także kraść z nich dane.

Jak uniknąć infekcji swojego komputera trojanem Pupy Remote Access i innym złośliwym oprogramowaniem? Przede wszystkim nie otwieraj wiadomości e-mail od podejrzanych nadawców, a już zwłaszcza nie klikaj w żadne linki umieszczone w tych wiadomościach i nie pobieraj żadnych dołączonych do nich załączników.

Fakt, że Pupy RAT jest rozpowszechniany w powyższy sposób, odkryli badacze z K7 Security Labs. Eksperci nie zdołali zidentyfikować cyberprzestępców, ale są przekonani, że ci cyberprzestępcy prowadzą swoje działania z obszaru Chin.

Źródło: K7 Security Labs, fot. tyt. Canva

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.