黑客滥用MicrosoftWindows10和Windows11上的错误报告工具通过DLL侧载技术WerFault.exe运行恶意软件,该技术通过DLL侧载在被感染设备的内存上运行恶意软件。黑客首先通过合法的Windows可执行文件启动恶意软件,而不会触发任何警告,从而悄悄地感染设备。K7SecurityLabs安全公司是第一个发现此类攻击的公司。恶意软件活动始于一封带有ISO附件的电子邮件。用户双击ISO文件后,它会将自己安装为一个新的驱动器号,其中包含WindowsWerFault.exe可执行文件的合法副本、一个DLL文件(“faultrep.dll”)、一个XLS文件(“File.xls”)和一个快捷方式文件('inventory&ourspecialties.lnk')。受害者通过单击使用“scriptrunner.exe”执行WerFault.exe的快捷方式文件来启动感染链。WerFault是Windows10和11中使用的标准Windows错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误。防病毒工具通常信任WerFault,因为它是由Microsoft签名的合法Windows可执行文件,因此在系统上启动它通常不会触发警告受害者的警报。启动WerFault.exe后,恶意软件使用已知的DLL侧载缺陷加载ISO中包含的恶意“faultrep.dll”DLL。通常,“faultrep.dll”文件是Microsoft在C:\Windows\System文件夹中要求WerFault正常运行所需的合法DLL。但是,ISO中的恶意DLL版本包含启动恶意软件的附加代码。
