Criminali stanno abusando dello strumento di segnalazione degli errori di Windows (WerFault.exe) per caricare malware nella memoria di un sistema compromesso utilizzando una tecnica di sideloading DLL. L’uso di questo eseguibile di Windows è quello di infettare furtivamente i dispositivi senza suscitare alcun allarme sul sistema violato, lanciando il malware attraverso un eseguibile legittimo di Windows. La nuova campagna è stata individuata da K7 Security Labs, che non ha potuto identificare gli hacker, ma si ritiene che abbiano sede in Cina. La campagna di malware inizia con l’arrivo di un’e-mail contenente un allegato ISO. Quando si fa doppio clic, l’ISO si monta come una nuova lettera di unità contenente una copia legittima dell’eseguibile Windows WerFault.exe, un file DLL (“faultrep.dll”), un file XLS (“File.xls”) e un file di collegamento (“inventory & our specialties.lnk”).
La vittima avvia la catena di infezione facendo clic sul file di collegamento, che utilizza “scriptrunner.exe” per eseguire WerFault.exe. WerFault è lo strumento standard di segnalazione degli errori di Windows utilizzato in Windows 10 e 11, che consente al sistema di tenere traccia e segnalare gli errori relativi al sistema operativo o alle applicazioni. Windows utilizza questo strumento per segnalare un errore e ricevere raccomandazioni su potenziali soluzioni. Gli strumenti antivirus si fidano comunemente di WerFault in quanto si tratta di un eseguibile legittimo di Windows firmato da Microsoft, per cui il suo avvio nel sistema di solito non fa scattare avvisi per avvisare la vittima. Quando WerFault.exe viene lanciato, utilizza una nota falla di sideloading delle DLL per caricare la DLL dannosa “faultrep.dll” contenuta nell’ISO. Normalmente, il file “faultrep.dll” è una DLL legittima di Microsoft presente nella cartella C:\Windows\System, necessaria per la corretta esecuzione di WerFault. Tuttavia, la versione DLL dannosa presente nell’ISO contiene codice aggiuntivo per lanciare il malware.
La tecnica di creare DLL dannose con lo stesso nome di una legittima in modo che venga caricata al suo posto è chiamata DLL sideloading. Il sideloading di DLL richiede che la versione dannosa di una DLL si trovi nella stessa directory dell’eseguibile che la richiama. Quando l’eseguibile viene lanciato, Windows gli darà la priorità rispetto alla DLL nativa, purché abbia lo stesso nome. Quando la DLL viene caricata in questo attacco, crea due thread, uno che carica la DLL di Pupy Remote Access Trojan (‘dll_pupyx64.dll’) in memoria e uno che apre il foglio di calcolo XLS incluso per fungere da esca.
Pupy RAT è un malware open-source e pubblicamente disponibile, scritto in Python, che supporta il caricamento riflessivo delle DLL per eludere il rilevamento, mentre i moduli aggiuntivi vengono scaricati successivamente. Il malware consente agli attori delle minacce di ottenere l’accesso completo ai dispositivi infetti, permettendo loro di eseguire comandi, rubare dati, installare ulteriore malware o diffondersi lateralmente attraverso una rete. I distributori di malware QBot sono stati visti adottare una catena di attacco simile la scorsa estate, abusando del calcolatore di Windows per eludere il rilevamento da parte del software di sicurezza.
