- Регистрация
- 18.01.2023
- Сообщения
- 1 674
- Реакции
- 295
- Депозит
- 𝟎.𝟓 𝐁𝐓𝐂
- Сделок через Гаранта
- 135
Хакеры начали использовать службу регистрации ошибок Windows (WerFault.exe) для выгрузки вредоносного ПО в память взломанной системы с помощью техники боковой загрузки DLL. Тактика набирает популярность, так как WerFault позволяет скрытно заражать устройства, обходя системы безопасности, которые просто игнорируют легитимный EXE-файл.
Кампанию с использованием новой тактики обнаружили исследователи K7 Security Labs. Эксперты пока не могут приписать её к какой-либо группировке, но предполагают, что за маскировкой Pupy RAT под WerFault стоят китайские хакеры.
Атака начинается с письма с вложением в виде ISO-образа. Если жертва кликает на него, образ монтируется в виде нового диска, содержащего легитимную копию WerFault.exe, а также файлы “faultrep.dll”, “File.xls” и “inventory & our specialties.lnk”. Цепочка заражения начинается с клика жертвы по LNK-файлу, запускающему WerFault. Антивирусы обычно доверяют этой службе, поскольку она легитимна и имеет подпись Microsoft. Затем WerFault запускает "faultrep.dll" из ISO-образа с помощью техники боковой загрузки DLL.
Оригинальный файл “faultrep.dll” необходим для корректной работы WerFault. А вот его копия с образа нужна лишь для запуска вшитого в нее вредоносного кода.
Загрузившись, DLL создает два потока:
Кампанию с использованием новой тактики обнаружили исследователи K7 Security Labs. Эксперты пока не могут приписать её к какой-либо группировке, но предполагают, что за маскировкой Pupy RAT под WerFault стоят китайские хакеры.
Атака начинается с письма с вложением в виде ISO-образа. Если жертва кликает на него, образ монтируется в виде нового диска, содержащего легитимную копию WerFault.exe, а также файлы “faultrep.dll”, “File.xls” и “inventory & our specialties.lnk”. Цепочка заражения начинается с клика жертвы по LNK-файлу, запускающему WerFault. Антивирусы обычно доверяют этой службе, поскольку она легитимна и имеет подпись Microsoft. Затем WerFault запускает "faultrep.dll" из ISO-образа с помощью техники боковой загрузки DLL.
Оригинальный файл “faultrep.dll” необходим для корректной работы WerFault. А вот его копия с образа нужна лишь для запуска вшитого в нее вредоносного кода.
Загрузившись, DLL создает два потока:
- Выгружающий DLL трояна Pupy в память;
- Открывающий XLS-файл в качестве отвлекающего маневра.