اكتشفت شركة أمنية أن المتسللين يسيئون استخدام أداة الإبلاغ عن مشكلات Windows (WerFault.exe) لتنزيل البرامج الضارة في ذاكرة النظام المخترق باستخدام ملفات التنزيل غير المنشورة (.DLL).
ذكرت K7 Security Labs أن الغرض من استخدام WerFault.exe القابل للتنفيذ من Windows هو إصابة الأجهزة سرًا دون تشغيل أي إنذارات على النظام المخترق عن طريق تشغيل برامج ضارة من خلال برنامج Windows شرعي قابل للتنفيذ.
لم تتمكن الشركة التي اكتشفت الحملة الجديدة من تحديد المتسللين ، لكن يُعتقد أن مقرهم في الصين.
أوضح (K7 Security Labs) أن حملة البرامج الضارة تبدأ برسالة بريد إلكتروني تحتوي على مرفق (ISO). سيؤدي النقر فوقه نقرًا مزدوجًا إلى تحميل صورة ISO كحرف محرك أقراص جديد يحتوي على نسخة شرعية من WerFault.exe القابل للتنفيذ من Windows و errorrep.dll و File.xls (المخزون و specialities.lnk).
يصاب نظام الضحية بالنقر فوق اختصار الملف الذي يستخدمه (scriptrunner.exe) لتشغيل ملف WerFault.exe. مع ملاحظة أن (WerFault) هي أداة قياسية للإبلاغ عن أخطاء Windows تستخدم في نظامي التشغيل Windows 10 و Windows 11 والتي تسمح للنظام بمراقبة والإبلاغ عن الأخطاء المتعلقة بنظام التشغيل أو التطبيقات. يستخدم النظام هذه الأداة للإبلاغ عن خطأ والحصول على توصيات بشأن الحلول الممكنة.
تثق أدوات مكافحة الفيروسات عمومًا في WerFault لأنه برنامج Windows شرعي قابل للتنفيذ مرخص من Microsoft ، لذا فإن تشغيله على النظام عادةً لا ينتج عنه تحذيرات لتنبيه الضحية.
بمجرد بدء التشغيل ، يستخدم WerFault.exe ثغرة معروفة في تحميل ملف DLL لتحميل ملف ضار (errorrep.dll) موجود في ملف ISO.
عادةً ما يكون errorrep.dll ملف DLL شرعيًا موجودًا في المجلد (C: \ Windows \ System) المطلوب لكي يعمل WerFault بشكل صحيح. ومع ذلك ، تحتوي مكتبة الارتباط الديناميكي (DLL) الضارة في صورة ISO على تعليمات برمجية إضافية لتشغيل البرامج الضارة.
اقرأ ايضا:تعلن إنتل عن الجيل الثالث عشر من معالجات إنتل كور
يُطلق على تقنية إنشاء مكتبات DLL ضارة بنفس الاسم مثل مكتبات DLL الشرعية والتحميل غير المنشور لها اسم تحميل DLL غير المنشور.
يتطلب تنزيل ملفات DLL غير المنشورة أن يكون الإصدار الضار من DLL في نفس الدليل مثل الملف القابل للتنفيذ الذي يستدعيه. بمجرد تشغيل الملف القابل للتنفيذ ، سيمنحه Windows الأولوية على DLL الأصلي إذا كان له نفس الاسم.
عن طريق تنزيل ملف DLL الضار في هذا الهجوم ، فإنه ينشئ مسارين: أحدهما يقوم بتنزيل ملف DLL (Pupy Remote Access Trojan – dll_pupyx64.dll) في الذاكرة ، والآخر يفتح جدول بيانات XLS المرفق على شكل شرك.
Pupy RAT هو ملف برامج ضارة متاح للجمهور ومفتوح المصدر بلغة برمجة Python يدعم تحميل مكتبات DLL العاكسة لتجنب الاكتشاف ، مع تحميل وحدات إضافية لاحقًا.
تتيح البرامج الضارة للمهاجمين الوصول الكامل إلى الأجهزة المصابة ، مما يسمح لهم بتنفيذ الأوامر أو سرقة البيانات أو تثبيت برامج ضارة أخرى أو الانتشار عبر الشبكة.
كأداة مفتوحة المصدر ، تم استخدامه من قبل العديد من جهات التجسس المدعومة من الحكومة مثل المجموعات الإيرانية APT33 و APT35 لأن هذه الأدوات تجعل من الصعب تتبع الإسناد.
استخدم موزعو البرامج الضارة في QBot سلسلة مماثلة من الهجمات الصيف الماضي ، حيث أساءوا استخدام حاسبة Windows للتهرب من الاكتشاف بواسطة برامج الأمان.