Siber suçluların kötü amaçlı yazılım yüklediği tespit edildi (yeni sekmede açılır) WerFault.exe adlı meşru bir Windows Sorun Raporlama aracı aracılığıyla savunmasız Windows uç noktalarına.
Kampanyayı ilk keşfeden K7 Security Labs araştırmacılarına göre, bilgisayar korsanları (muhtemelen Çin’den) bir ISO dosyası içeren bir kimlik avı e-postası gönderirdi. ISO, çalıştırıldığında yeni bir sürücü harfi olarak yüklenen (kullanıcı bir CD veya DVD yüklemiş gibi) bir optik disk görüntü dosyasıdır.
Bu durumda, ISO, WerFault.exe yürütülebilir dosyasının temiz bir kopyasını ve ayrıca üç ek dosya içerir – errorrep.dll adlı bir DLL dosyası, File.xls adlı bir XLS dosyası ve Inventory & Our specialities.lnk adlı bir kısayol dosyası .
Meşru yazılımı kötüye kullanma
Kurban önce, yasal WerFault.exe dosyasını çalıştıracak olan kısayol dosyasına tıklar. Bunların temiz dosyalar olduğu göz önüne alındığında, herhangi bir virüsten koruma alarmını tetiklemezler.
Daha sonra WerFault.exe, normal koşullarda programın düzgün çalışması için gereken geçerli bir dosya olan errorrep.dll dosyasını yüklemeye çalışır. Ancak, WerFault önce dosyayı bulunduğu klasörde arar ve DLL kötü amaçlıysa (burada olduğu gibi), esasen kötü amaçlı yazılımı çalıştırır. Bu tekniğe kötü amaçlı yazılımdan yükleme denir.
K7 Security Labs’e göre, DLL iki iş parçacığı oluşturacak, biri Pupy Uzaktan Erişim Truva Atı’nın DLL’sini (dll_pupyx64.dll) belleğe yükleyecek ve diğeri kurbanı meşgul etmekten başka hiçbir amaca hizmet etmeyen bir tuzak dosyası olan File.xls’i açacak. kötü amaçlı yazılım uç noktaya yüklenirken.
Pupy, tehdit aktörlerine hedef cihaza tam erişim sağlayarak komutları çalıştırmalarına, herhangi bir veriyi çalmalarına veya ağda istedikleri gibi hareket etmelerine olanak tanır.
Göre BleepingBilgisayarPupy, İran devlet destekli tehdit aktörleri APT33 ve APT35 ile QBot kötü amaçlı yazılımını dağıtmak isteyen bilgisayar korsanları tarafından kullanıldı.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
