Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

www.tuoitre.vn -   04/01/2023 12:00:00 621

Hacker đang lạm dụng công cụ báo lỗi Windows Problem Reporting (WerFault.exe) dành cho Windows để tải mã độc vào bộ nhớ của hệ thống bị xâm nhập bằng kỹ thuật sideload DLL.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Bằng cách khởi chạy mã độc thông qua một file thực thi Windows "chính chủ", hacker có thể phát tán mã độc vào các thiết bị mà không hề bị phát hiện. Hệ thống cũng không đưa ra bất kỳ cảnh báo nào.

Chiến dịch phát tán mã độc tinh vi này được thực hiện bởi nhóm hacker K7 Security Labs. Mặc dù chưa xác định được danh tính của thành viên nhóm K7 Security Labs nhưng cơ quan điều tra tin rằng chúng tới từ Trung Quốc.

Chiến dịch phát tán mã độc bắt đầu từ một email lừa đảo có đính kèm file ISO. Khi nhấp đúp vào, file ISO sẽ tự mount nó thành một ổ được gắn ký tự có chứa bản copy chuẩn của file thực thi Windows WerFault.exe, một file DLL (faultrep.dll) một file XLS (File.xls) và một file lối tắt (inventory & our specialties.lnk).

Khi nạn nhân nhấp vào file lối tắt, chuỗi lây nhiễm bắt đầu. File đó sẽ sử dụng "scriptrunner.exe" để thực thi WerFault.exe.

WerFault là công cụ báo cáo lỗi "chuẩn chỉ" của Windows được sử dụng trong Windows 10 và 11. Nó cho phép hệ thống theo dõi và báo cáo các lỗi liên quan đến hệ điều hành hoặc ứng dụng.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Windows sử dụng công cụ này để báo cáo lỗi và nhận các giải pháp đề xuất tiềm năng.

Các công cụ chống virus thường tin tưởng WerFault vì đây là file thực thi Windows "chính chủ" được ký xác nhận bởi Microsoft. Do đó, việc khởi chạy nó trên hệ thống thường sẽ không kích hoạt cảnh báo.

Khi WerFault.exe được khởi chạy, nó sẽ sử dụng lỗ hổng sideload DLL đã biết để tải file DLL faultrep.dll độc hại có sẵn trong file ISO.

Thông thường, file faultrep.dll là một file DLL hợp pháp của Microsoft trong thư mục C:\Windows\System và nó cần thiết cho việc chạy WerFault. Tuy nhiên, phiên bản file DLL trong file ISO có chứa các code độc hại bổ sung để khởi chạy mã độc.

Kỹ thuật tạo các file DLL độc hại có cùng tên với các file "chính chủ" để file độc hại khởi chạy thay cho file "chính chủ" được gọi là sideload DLL.

Sildeload DLL yêu cầu một phiên bản file DLL độc hại được đặt trong cùng một thư mục với file thực thi gọi nó. Khi file thực thi được khởi chạy, Windows sẽ ưu tiên nó hơn so với DLL gốc, miễn là nó có cùng tên.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Trong cuộc tấn công này, khi DLL được tải, nó sẽ tạo ra hai luồng, một luồng tải file DLL của Pupy Remote Access Trojan (dll_pupyx64.dll) vào bộ nhớ và một luồng mở bảng tính XLS đi kèm để dùng làm mồi nhử.

Pupy RAT là mã độc mã nguồn mở viết bằng Python được chia sẻ công khai hỗ trợ tải DLL phản chiếu để tránh bị phát hiện và các mô-đun bổ sung được tải xuống sau đó.

Mã độc cho phép hacker có quyền truy cập vào các máy tính bị nhiễm, cho phép chúng thực thi các lệnh, đánh cắp dữ liệu, cài đặt thêm mã độc hoặc lây lan qua mạng ngang hàng.

Do là mã độc nguồn mở nên Pupy RAT đã được sử dụng bởi một số nhóm hacker như APT33 và APT35.

Năm ngoái, những kẻ phân phối mã độc QBot đã áp dụng một chuỗi tấn công tương tự. Chúng lạm dụng app Calculator trên Windows để trốn tránh sự phát hiện của phần mềm bảo mật.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Tác hại của ánh sáng xanh từ màn hình đi...

01/04/2025 12:00:00 353
Nghiên cứu đã tiết lộ những con số đáng báo động về mối liên hệ giữa thói quen nhìn màn hình trước k...

Cảnh báo mã độc phát tán từ những quảng ...

31/03/2025 12:00:00 226
Việc phòng tránh các quảng cáo DeepSeek giả mạo trên Google tương đối đơn giản, bạn có thể theo dõi ...

Trojan độc hại mới Crocodilus lợi dụng k...

28/03/2025 08:00:00 207
Một loại Trojan mới mang tên Crocodilus vừa được phát hiện, lợi dụng các dịch vụ trợ năng trên Andro...

Dân mạng cố lách để cài đặt Windows 11 k...

28/03/2025 12:00:00 242
Vấn đề này phản ánh sự căng thẳng giữa nhu cầu bảo mật của công ty và mong muốn tự do của người dùng...

Kaspersky tiết lộ hơn 500.000 vụ tấn côn...

27/03/2025 08:00:00 379
Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu Kaspersky, tội phạm mạ...

Lỗi Windows máy in khó chịu nhất năm 202...

27/03/2025 12:00:00 274
Microsoft khuyên bạn nên cài đặt bản cập nhật mới nhất trên thiết bị của mình ngay bây giờ
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button