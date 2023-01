Sposób sprytny i groźny.

Atak z użyciem kopii systemowych plików

Cyberprzestępcy coraz mocniej prześcigają się w opracowywaniu kreatywnych sposobów na rozpowszechnianie malware, przeprowadzanie ataków phishingowych i tym podobnych. Jak się okazuje, teraz jeden z tych sposobów obejmuje nadużywanie narzędzia będącego częścią systemu, a dokładniej narzędzia służącego do raportowania błędów –WerFault.exe to standardowe narzędzie wykorzystywane przez Windows 10 i Windows 11 do śledzenia i przekazywania informacji o błędach powiązanych z systemem operacyjnym lub aplikacjami. Informuje też ono użytkownika o tym, że system Windows wyszukuje rozwiązania problemu.Programy antywirusowe z reguły ufają WerFault.exe, ponieważ jest to plik wykonywalny samego. Jak hakerzy zdecydowali się wykorzystać ten fakt?Cyberprzestępcy rozsyłają wiadomości email z załącznikiem(obrazem płyty). Po dwukrotnym kliknięciu na plik ISO lewym przyciskiem myszy automatycznie montuje się on w wirtualnym napędzie wraz z literą dysku. Zawiera on kopię wspomnianego pliku wykonywalnego – WerFault.exe, a także plik(faultrep.dll), plik(file.xls) i skrót w postaci plikuInfekcja komputera rozpoczyna się poprzez kliknięcie przez użytkownika we wspomniany skrót. Ten wykorzystuje plikdo aktywacji pliku. Uruchomiony plik WerFault.exe wykorzystuje tak zwany, by aktywować z kolei złośliwy plikznajdujący się na obrazie płyty. DLL sideloading polega na tworzeniu złośliwych wersji plików DLL o tej samej nazwie, jak oryginalne pliki.Oczywiście, plik DLL o tej samej nazwie faultrep.dll jest częścią systemu Windows i można znaleźć go, podążając ścieżką. Jest on potrzebny, by polecenie WerFault działało poprawnie. Niemniej, wersja pliku rozpowszechniana przez hakerów posiada dodatkowy kod infekujący komputer złośliwym oprogramowaniem.