Des cybercriminels ont été détectés en train de télécharger des logiciels malveillants (s'ouvre dans un nouvel onglet) sur des terminaux Windows fragiles via un outil de rapport de bogue Windows légitime appelé WerFault.exe.
Selon des chercheurs de K7 Security Labs, qui ont découvert la campagne pour la première fois, les pirates (vraisemblablement de Chine) envoyaient un e-mail de phishing contenant un fichier ISO. ISO est un fichier image de disque optique qui, lorsqu'il est exécuté, est chargé en tant que nouvelle lettre de lecteur (comme si l'utilisateur chargeait un CD ou un DVD).
Dans ce cas, l'ISO contient une copie propre de l'exécutable WerFault.exe, plus 3 fichiers supplémentaires : un fichier DLL nommé faultrep.dll, un fichier XLS nommé File.xls et un fichier de raccourci nommé Inventory & Our specialities .lnk .
Abus de logiciels légitimes
La victime cliquerait d'abord sur le fichier de raccourci, qui exécuterait le fichier WerFault.exe légitime. Comme il s'agit de fichiers sains, ils ne déclencheront aucune alarme de virus.
WerFault.exe tentera alors de charger le fichier faultrep.dll qui, dans des circonstances normales, est également un fichier légitime nécessaire pour exécuter correctement le programme. Cependant, WerFault recherchera d'abord le fichier dans le même dossier dans lequel il réside, et si la DLL est malveillante (comme c'est le cas ici), il exécutera essentiellement le logiciel malveillant. Cette technique est appelée malware à transfert latéral.
Selon K7 Security Labs, la DLL créera deux threads, l'un qui charge la DLL du cheval de Troie d'accès à distance Pupy (dll_pupyx64.dll) en mémoire et l'autre qui ouvre File.xls, un fichier de réclamation qui n'a d'autre but que de ne pas conserver la victime est occupée pendant que le logiciel malveillant se charge dans le terminal.
Pupy donne aux pirates un accès complet à l'appareil cible, leur permettant d'exécuter des commandes, de voler des données ou de parcourir le réseau à leur guise.
Selon BleepingComputer, Pupy a été utilisé par les acteurs de la menace parrainés par l'État iranien APT33 et APT35, ainsi que par des pirates cherchant à distribuer le malware QBot.
Via : BleepingComputer (s'ouvre dans un nouvel onglet)