Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

www.tuoitre.vn -   04/01/2023 12:00:00 407

Hacker đang lạm dụng công cụ báo lỗi Windows Problem Reporting (WerFault.exe) dành cho Windows để tải mã độc vào bộ nhớ của hệ thống bị xâm nhập bằng kỹ thuật sideload DLL.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Bằng cách khởi chạy mã độc thông qua một file thực thi Windows "chính chủ", hacker có thể phát tán mã độc vào các thiết bị mà không hề bị phát hiện. Hệ thống cũng không đưa ra bất kỳ cảnh báo nào.

Chiến dịch phát tán mã độc tinh vi này được thực hiện bởi nhóm hacker K7 Security Labs. Mặc dù chưa xác định được danh tính của thành viên nhóm K7 Security Labs nhưng cơ quan điều tra tin rằng chúng tới từ Trung Quốc.

Chiến dịch phát tán mã độc bắt đầu từ một email lừa đảo có đính kèm file ISO. Khi nhấp đúp vào, file ISO sẽ tự mount nó thành một ổ được gắn ký tự có chứa bản copy chuẩn của file thực thi Windows WerFault.exe, một file DLL (faultrep.dll) một file XLS (File.xls) và một file lối tắt (inventory & our specialties.lnk).

Khi nạn nhân nhấp vào file lối tắt, chuỗi lây nhiễm bắt đầu. File đó sẽ sử dụng "scriptrunner.exe" để thực thi WerFault.exe.

WerFault là công cụ báo cáo lỗi "chuẩn chỉ" của Windows được sử dụng trong Windows 10 và 11. Nó cho phép hệ thống theo dõi và báo cáo các lỗi liên quan đến hệ điều hành hoặc ứng dụng.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Windows sử dụng công cụ này để báo cáo lỗi và nhận các giải pháp đề xuất tiềm năng.

Các công cụ chống virus thường tin tưởng WerFault vì đây là file thực thi Windows "chính chủ" được ký xác nhận bởi Microsoft. Do đó, việc khởi chạy nó trên hệ thống thường sẽ không kích hoạt cảnh báo.

Khi WerFault.exe được khởi chạy, nó sẽ sử dụng lỗ hổng sideload DLL đã biết để tải file DLL faultrep.dll độc hại có sẵn trong file ISO.

Thông thường, file faultrep.dll là một file DLL hợp pháp của Microsoft trong thư mục C:\Windows\System và nó cần thiết cho việc chạy WerFault. Tuy nhiên, phiên bản file DLL trong file ISO có chứa các code độc hại bổ sung để khởi chạy mã độc.

Kỹ thuật tạo các file DLL độc hại có cùng tên với các file "chính chủ" để file độc hại khởi chạy thay cho file "chính chủ" được gọi là sideload DLL.

Sildeload DLL yêu cầu một phiên bản file DLL độc hại được đặt trong cùng một thư mục với file thực thi gọi nó. Khi file thực thi được khởi chạy, Windows sẽ ưu tiên nó hơn so với DLL gốc, miễn là nó có cùng tên.

Công cụ báo lỗi của Windows bị tin tặc lợi dụng để lây nhiễm mã độc

Trong cuộc tấn công này, khi DLL được tải, nó sẽ tạo ra hai luồng, một luồng tải file DLL của Pupy Remote Access Trojan (dll_pupyx64.dll) vào bộ nhớ và một luồng mở bảng tính XLS đi kèm để dùng làm mồi nhử.

Pupy RAT là mã độc mã nguồn mở viết bằng Python được chia sẻ công khai hỗ trợ tải DLL phản chiếu để tránh bị phát hiện và các mô-đun bổ sung được tải xuống sau đó.

Mã độc cho phép hacker có quyền truy cập vào các máy tính bị nhiễm, cho phép chúng thực thi các lệnh, đánh cắp dữ liệu, cài đặt thêm mã độc hoặc lây lan qua mạng ngang hàng.

Do là mã độc nguồn mở nên Pupy RAT đã được sử dụng bởi một số nhóm hacker như APT33 và APT35.

Năm ngoái, những kẻ phân phối mã độc QBot đã áp dụng một chuỗi tấn công tương tự. Chúng lạm dụng app Calculator trên Windows để trốn tránh sự phát hiện của phần mềm bảo mật.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 34
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 39
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 36
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 33
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 29
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 19
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ