Se ha detectado a ciberdelincuentes descargando malware (se abre en una pestaña nueva) en puntos finales vulnerables de Windows a través de una herramienta legítima de informe de problemas de Windows llamada WerFault.exe.
Según los investigadores de K7 Security Labs, que descubrieron por primera vez la campaña, los piratas informáticos (presumiblemente de China) enviarían un correo electrónico de phishing que contenía un archivo ISO. ISO es un archivo de imagen de disco óptico que, cuando se ejecuta, se carga como una nueva letra de unidad (como si el usuario cargara un CD o un DVD).
En este caso, la ISO contiene una copia limpia del ejecutable WerFault.exe, pero también tres archivos adicionales: un archivo DLL llamado faultrep.dll, un archivo XLS llamado File.xls y un archivo de acceso directo llamado Inventory & Our specialities.lnk .
Abusar de software legítimo
La víctima primero haría clic en el archivo de acceso directo, que ejecutaría el archivo WerFault.exe legítimo. Dado que estos son archivos limpios, no activarán ninguna alarma antivirus.
Luego, WerFault.exe intentará cargar el archivo faultrep.dll que, en circunstancias normales, también es un archivo legítimo necesario para ejecutar el programa correctamente. Sin embargo, WerFault primero buscará el archivo en la misma carpeta donde reside, y si la DLL es maliciosa (como es el caso aquí), esencialmente ejecutará el malware. Esta técnica se denomina transferencia local de malware.
Según K7 Security Labs, la DLL creará dos subprocesos, uno que carga la DLL del troyano de acceso remoto Pupy (dll_pupyx64.dll) en la memoria y otro que abre File.xls, un archivo señuelo que no tiene otro propósito que mantener ocupada a la víctima. mientras el malware se carga en el endpoint.
Pupy brinda a los actores de amenazas acceso completo al dispositivo de destino, lo que les permite ejecutar comandos, robar datos o moverse a través de la red como lo deseen.
De acuerdo a BleepingEquipoPupy fue utilizado por los actores de amenazas patrocinados por el estado iraní APT33 y APT35, así como por piratas informáticos que buscaban distribuir el malware QBot.
Vía: BleepingComputer (se abre en una pestaña nueva)