Bilgisayar korsanları, bir DLL yandan yükleme tekniği kullanarak güvenliği ihlal edilmiş bir sistemin belleğine kötü amaçlı yazılım yüklemek için Windows için Windows Sorun Bildirimi (WerFault.exe) hata raporlama aracını kötüye kullanıyor.
Bu Windows yürütülebilir dosyasının kullanımı, kötü amaçlı yazılımı meşru bir Windows yürütülebilir dosyası aracılığıyla başlatarak ihlal edilen sistemde herhangi bir alarm vermeden aygıtlara gizlice bulaşmaktır.
Yeni kampanya, bilgisayar korsanlarını tespit edemeyen ancak Çin merkezli olduklarına inanılan K7 Security Labs tarafından tespit edildi.
WerFault.exe’yi kötüye kullanmak
Kötü amaçlı yazılım kampanyası, ISO eki olan bir e-postanın gelmesiyle başlar. Çift tıklandığında, ISO kendisini Windows WerFault.exe yürütülebilir dosyasının meşru bir kopyasını, bir DLL dosyasını (‘faultrep.dll’), bir XLS dosyasını (‘File.xls’) ve bir kısayol dosyası (‘envanter ve uzmanlıklarımız.lnk’).
.jpg)
Kaynak: K7 Laboratuvarları
Kurban, WerFault.exe’yi çalıştırmak için ‘scriptrunner.exe’yi kullanan kısayol dosyasına tıklayarak enfeksiyon zincirini başlatır.
WerFault, Windows 10 ve 11’de kullanılan standart Windows hata raporlama aracıdır ve sistemin işletim sistemi veya uygulamalarla ilgili hataları izlemesine ve raporlamasına olanak tanır.
Windows, bir hatayı bildirmek ve olası çözüm önerileri almak için aracı kullanır.
Virüsten koruma araçları, Microsoft tarafından imzalanmış meşru bir Windows yürütülebilir dosyası olduğu için genellikle WerFault’a güvenir, bu nedenle sistemde başlatılması genellikle kurbanı uyarmak için uyarıları tetiklemez.
WerFault.exe başlatıldığında, ISO’da bulunan kötü amaçlı ‘faultrep.dll’ DLL dosyasını yüklemek için bilinen bir DLL yandan yükleme kusurunu kullanır.
Normalde ‘faultrep.dll’ dosyası, WerFault’un düzgün çalışması için gereken C:\ Ancak, ISO’daki kötü amaçlı DLL sürümü, kötü amaçlı yazılımı başlatmak için ek kod içerir.
Bunun yerine yüklenmesi için meşru bir adla aynı ad altında kötü amaçlı DLL’ler oluşturma tekniğine DLL yandan yükleme denir.
DLL yandan yükleme, bir DLL’nin kötü amaçlı bir sürümünün onu çağıran yürütülebilir dosyayla aynı dizinde bulunmasını gerektirir. Yürütülebilir dosya başlatıldığında, Windows, aynı ada sahip olduğu sürece yerel DLL dosyasına göre öncelik verir.
DLL bu saldırıda yüklendiğinde, biri Pupy Uzaktan Erişim Truva Atı’nın DLL’sini (‘dll_pupyx64.dll’) belleğe yükleyen ve diğeri de yem olarak hizmet etmesi için içerilen XLS elektronik tablosunu açan iki iş parçacığı oluşturur.
.jpg)
Kaynak: K7 Laboratuvarları
Pupy RAT, Python’da yazılmış, algılamadan kaçınmak için yansıtıcı DLL yüklemesini destekleyen ve ek modüller daha sonra indirilen açık kaynaklı ve halka açık bir kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, tehdit aktörlerinin virüslü cihazlara tam erişim sağlayarak komutları yürütmelerine, verileri çalmalarına, daha fazla kötü amaçlı yazılım yüklemelerine veya bir ağ üzerinden yanal olarak yayılmalarına olanak tanır.
Açık kaynak bir araç olarak, İran APT33 ve APT35 grupları gibi birkaç devlet destekli casusluk aktörü tarafından kullanıldı, çünkü bu araçlar atıf ve kalıcı operasyonun izlenmesini zorlaştırıyor.
QBot kötü amaçlı yazılım dağıtıcılarının geçen yaz benzer bir saldırı zincirini benimsediği ve güvenlik yazılımı tarafından tespit edilmekten kaçınmak için Windows Hesaplayıcı’yı kötüye kullandığı görüldü.