sam. Juil 13th, 2024
WerFault.exe : les pirates informatiques abusent de l’outil de rapport d’erreurs Windows
Rate this post

Les attaquants obtiennent un accès complet à de nombreux systèmes Windows en utilisant un cheval de Troie propagé via WerFault.exe.

WerFault.exe : les pirates informatiques abusent de l’outil de rapport d’erreurs Windows

Dans le cadre d’une nouvelle campagne de logiciels malveillants, les pirates utilisent l’outil de rapport d’erreurs Windows »WerFault.exe‘ pour charger un cheval de Troie sur les systèmes de leurs victimes. Cela leur donne un accès complet aux appareils infectés via le chargement latéral de DLL. Et tout commence – comme c’est souvent le cas – par un e-mail.

Les logiciels malveillants se propagent à nouveau via WerFault.exe

Qui ne le sait pas : Si une erreur survient sous Windows, un petit outil salue parfois l’utilisateur en colère. Cela demande la permission de soumettre un rapport de bogue à Microsoft et de suggérer des solutions possibles. Derrière cette fonctionnalité du système d’exploitation se trouve le fichier exécutable WerFault.

Selon BleepingComputer, les pirates abusent actuellement de ce programme pour charger des logiciels malveillants dans la mémoire des systèmes attaqués via le chargement latéral de DLL. Étant donné que WerFault.exe est un fichier système, les attaquants parviennent à rester complètement non détectés. Les antivirus les classent finalement comme dignes de confiance.

Et ce n’est pas la première fois que des cybercriminels détournent cet outil de Microsoft. En outre, d’autres programmes système des pirates Windows 10 et Windows 11 ont également été utilisés comme outils d’attaque dans le passé.

La campagne infecte les systèmes Windows avec Pupy-RAT via le chargement latéral de DLL

La campagne de logiciels malveillants découverte par les chercheurs en sécurité de K7 Security Labs commence initialement par un e-mail. Ci-joint un fichier ISO. Celui-ci contient à son tour une copie du « WerFault.exe« , un « erreurrep.dll« , un « Fichier.xls » et un lien intitulé « inventaire & nos spécialités.lnk“.

Voir aussi  Affaire Schlesinger : des conseillers juridiques réclament 1,4 million d'euros

Cliquer sur le fichier de lien exécute WerFault.exe. Cela charge ensuite le fichier faultrep.dll malveillant via le chargement latéral de DLL, qui diffère de la version régulière de ce fichier du « C:WindowsSystème” en ce qu’il contient du code supplémentaire pour recharger les logiciels malveillants.

Ensuite, la DLL du cheval de Troie d’accès à distance Pupy (“dll_pupyx64.dll‘), un logiciel malveillant open source accessible au public, dans la mémoire du système attaqué. De plus, comme distraction, le fichier Office File.xls est ouvert pour distraire l’utilisateur.

Enfin, Pupy-RAT accorde aux attaquants un accès complet à l’appareil infecté. Cela permet aux pirates d’exécuter des commandes arbitraires, de voler des données, d’installer des logiciels malveillants supplémentaires et d’infiltrer d’autres systèmes à portée.

Ceux qui veulent se protéger de ce type d’attaque doivent être prudents lors de l’ouverture des pièces jointes. Un e-mail inattendu avec un fichier ISO en pièce jointe appartient toujours à la corbeille. Si cela inclut également un exécutable comme WerFault.exe, toutes les sonnettes d’alarme devraient sonner.