Cyberkriminelle er begyndt at misbruge Windows fejlrapportering – WerFault.exe – til at indlæse malware i et systems hukommelse ved hjælp af en DLL-sideindlæsningsteknik.
Det skriver Bleepingcomputer.
Malware-kampagnen blev opdaget af cybersikkerheds-efterforskerne K7 Security Labs. Hackerne kunne ikke identificeres, men menes at have base i Kina.
Angrebet foregår ved, at ofret først modtager en mail med en vedhæftet ISO-fil.
Når brugeren klikker på den, vil ISO-filen montere sig selv som et nyt drevbogstav, der indeholder en kopi af Windows fejlfindingsproces, den eksekverbare fil WerFault.exe, en DLL-fil ('faultrep.dll'), en XLS-fil ('File.xls') og en genvejsfil ('inventory & our specialties.lnk').
Ofret begynder infektionen ved at klikke på genvejsfilen, som bruger 'scriptrunner.exe' til at udføre WerFault.exe.
Infiltreringen vil ikke vække alarmer hos Windows, da filerne virker legitime, skriver mediet.
Malwaren giver angribere fuld adgang til enheden, og derved kan de udføre kommandoer, stjæle data, installere yderligere malware.
Werfault bruges i Windows 10 og 11.
Derfor: Pas på med ISO-filer fra mails, du ikke havde forventet.
