Een groep onbekende cybercriminelen misbruikt de Windows Problem Reporting tool (WerFault.exe) om systemen te infecteren met trojans.
Website BleepingComputer laat weten dat de hackcampagne werd ontdekt door K7 Security Labs, een Indiaas securitybedrijf. De onderzoekers konden de cybercriminelen niet identificeren, maar K7 Security Labs vermoedt dat de groep in China is gevestigd.
De aanval is gebaseerd op DLL sideloading, waarover later meer. WerFault.exe stelt de hackers in staat om malware in het memory van getroffen systemen te laden. De legitieme Windows executable maakt het mogelijk om onder de radar te blijven.
Aanvalsproces
Het aanvalsproces begint met een e-mail. Doelwitten ontvangen een bericht met een ISO-bijlage. Klikt het doelwit op de bijlage, dan mount de ISO zichzelf op een drive met een legitieme kopie van de WerFault.exe, een DLL-bestand (‘faultrep.dll’), een XLS-bestand (‘File.xls’) en een snelkoppelingsbestand (‘inventory & our specialties.lnk’).
Zodra WerFault.exe wordt uitgevoerd maakt een kwetsbaarheid het mogelijk om een schadelijke DLL (‘faultrep.dll’) in de ISO te laden. De techniek staat bekend als DLL sideloading, waarbij kwaadaardige DLL’s worden aangemaakt onder dezelfde naam als legitieme DLL’s. Het systeem verwart de twee en laadt de kwaadaardige kopie.
Vervolgens wordt Pupy DLL (‘dll_pupyx64.dll’) in het memory geïnjecteerd. Pupy is een bekende remote access trojan (RAT). Hackers gebruiken de RAT voor volledige toegang tot apparaten, vaak met gegevensdiefstal en netwerkaanvallen als gevolg.
Malwarevariant QBot werd in de zomer van 2022 met een vergelijkbaar aanvalsproces verspreid. Een groep aanvallers gebruikte de legitieme Windows Calculator-applicatie om antivirussoftware te omzeilen.
1 uur geleden
