Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

www.tuoitre.vn -   04/01/2023 12:00:00 355

Hacker đang lạm dụng công cụ báo lỗi Windows Problem Reporting (WerFault.exe) dành cho Windows để tải mã độc vào bộ nhớ của hệ thống bị xâm nhập bằng kỹ thuật sideload DLL.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Bằng cách khởi chạy mã độc thông qua một file thực thi Windows "chính chủ", hacker có thể phát tán mã độc vào các thiết bị mà không hề bị phát hiện. Hệ thống cũng không đưa ra bất kỳ cảnh báo nào.

Chiến dịch phát tán mã độc tinh vi này được thực hiện bởi nhóm hacker K7 Security Labs. Mặc dù chưa xác định được danh tính của thành viên nhóm K7 Security Labs nhưng cơ quan điều tra tin rằng chúng tới từ Trung Quốc.

Chiến dịch phát tán mã độc bắt đầu từ một email lừa đảo có đính kèm file ISO. Khi nhấp đúp vào, file ISO sẽ tự mount nó thành một ổ được gắn ký tự có chứa bản copy chuẩn của file thực thi Windows WerFault.exe, một file DLL (faultrep.dll) một file XLS (File.xls) và một file lối tắt (inventory & our specialties.lnk).

Khi nạn nhân nhấp vào file lối tắt, chuỗi lây nhiễm bắt đầu. File đó sẽ sử dụng "scriptrunner.exe" để thực thi WerFault.exe.

WerFault là công cụ báo cáo lỗi "chuẩn chỉ" của Windows được sử dụng trong Windows 10 và 11. Nó cho phép hệ thống theo dõi và báo cáo các lỗi liên quan đến hệ điều hành hoặc ứng dụng.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Windows sử dụng công cụ này để báo cáo lỗi và nhận các giải pháp đề xuất tiềm năng.

Các công cụ chống virus thường tin tưởng WerFault vì đây là file thực thi Windows "chính chủ" được ký xác nhận bởi Microsoft. Do đó, việc khởi chạy nó trên hệ thống thường sẽ không kích hoạt cảnh báo.

Khi WerFault.exe được khởi chạy, nó sẽ sử dụng lỗ hổng sideload DLL đã biết để tải file DLL faultrep.dll độc hại có sẵn trong file ISO.

Thông thường, file faultrep.dll là một file DLL hợp pháp của Microsoft trong thư mục C:\Windows\System và nó cần thiết cho việc chạy WerFault. Tuy nhiên, phiên bản file DLL trong file ISO có chứa các code độc hại bổ sung để khởi chạy mã độc.

Kỹ thuật tạo các file DLL độc hại có cùng tên với các file "chính chủ" để file độc hại khởi chạy thay cho file "chính chủ" được gọi là sideload DLL.

Sildeload DLL yêu cầu một phiên bản file DLL độc hại được đặt trong cùng một thư mục với file thực thi gọi nó. Khi file thực thi được khởi chạy, Windows sẽ ưu tiên nó hơn so với DLL gốc, miễn là nó có cùng tên.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Trong cuộc tấn công này, khi DLL được tải, nó sẽ tạo ra hai luồng, một luồng tải file DLL của Pupy Remote Access Trojan (dll_pupyx64.dll) vào bộ nhớ và một luồng mở bảng tính XLS đi kèm để dùng làm mồi nhử.

Pupy RAT là mã độc mã nguồn mở viết bằng Python được chia sẻ công khai hỗ trợ tải DLL phản chiếu để tránh bị phát hiện và các mô-đun bổ sung được tải xuống sau đó.

Mã độc cho phép hacker có quyền truy cập vào các máy tính bị nhiễm, cho phép chúng thực thi các lệnh, đánh cắp dữ liệu, cài đặt thêm mã độc hoặc lây lan qua mạng ngang hàng.

Do là mã độc nguồn mở nên Pupy RAT đã được sử dụng bởi một số nhóm hacker như APT33 và APT35.

Năm ngoái, những kẻ phân phối mã độc QBot đã áp dụng một chuỗi tấn công tương tự. Chúng lạm dụng app Calculator trên Windows để trốn tránh sự phát hiện của phần mềm bảo mật.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 189
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 134
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 263
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 253
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 287
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 149
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ