IT 之家 1 月 5 日消息,黑客濫用微軟 Win10 / Win11 系統中内置的錯誤報告工具 Windows Problem Reporting(WerFault.exe),通過 DLL 旁加載技術在受感染設備的内存上運行惡意軟件。
黑客首先通過合法的 Windows 可執行文件來啟動惡意軟件,整個過程并不會觸發任何警告,從而隐蔽的感染設備。K7 Security Labs 安全公司率先發現了這種攻擊方式。
惡意軟件活動始于一封帶有 ISO 附件的電子郵件。用戶雙擊這個 ISO 文件之後,将自身挂載為一個新的驅動器盤符,其中包含 Windows WerFault.exe 可執行文件的合法副本、一個 DLL 文件("faultrep.dll")、一個 XLS 文件("File.xls")和一個快捷方式文件('inventory & our specialties.lnk')。
IT 之家了解到,受害者通過單擊快捷方式文件啟動感染鍊,該快捷方式文件使用 "scriptrunner.exe" 來執行 WerFault.exe。WerFault 是 Windows 10 和 11 中使用的标準 Windows 錯誤報告工具,允許系統跟蹤和報告與操作系統或應用程序相關的錯誤。
防病毒工具通常信任 WerFault,因為它是由 Microsoft 簽名的合法 Windows 可執行文件,因此在系統上啟動它通常不會觸發警報來警告受害者。
啟動 WerFault.exe 之後,該惡意軟件将使用已知的 DLL 側載缺陷來加載 ISO 中包含的惡意 "faultrep.dll"DLL。
通常,'faultrep.dll' 文件是 Microsoft 在 C:WindowsSystem 文件夾中為 WerFault 正确運行所需的合法 DLL。但是,ISO 中的惡意 DLL 版本包含用于啟動惡意軟件的附加代碼。