,黑客滥用微软Win10/Win11系统内置的错误报告工具Windows Problem Reporting,通过DLL侧加载技术在被感染设备的内存上运行恶意软件。
一开始黑客通过合法的Windows可执行文件启动恶意软件,整个过程不会触发任何警告,从而秘密感染设备Ksecurity Labs安全公司最先发现了这种攻击方法
恶意软件活动始于带有ISO附件的电子邮件。双击ISO文件后,用户将自己安装为一个新的驱动器号,其中包含Windows WerFault.exe可执行文件的合法副本,一个DLL文件,一个XLS文件和一个快捷方式文件(inventory amp我们的特色菜.
本站了解到,受害者通过点击快捷方式文件启动了感染链,该文件使用scriptrunner.exe来执行WerFault.exeWer是Windows 10和11中使用的标准Windows错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误
杀毒工具通常会信任WerFault,因为它是微软签署的合法Windows可执行文件,所以在系统上启动它通常不会触发警报来警告受害者。
WerFault.exe启动后,恶意软件会利用已知的dll侧加载缺陷,加载ISO中包含的恶意fault rep . DLLDLL。
通常, ' faultlep.dll '文件是Microsoft在C:WindowsSystem文件夹中要求的合法DLL,以便WerFault正确运行但是,ISO中的恶意DLL版本包含启动恶意软件的附加代码
声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多企业信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。投资有风险,需谨慎。