Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Троян Pupy научился выдавать себя за службу регистрации ошибок Windows

11/01/23

167dfbf2-e809-4435-afb3-963ff9d41043

Хакеры начали использовать службу регистрации ошибок Windows (WerFault.exe) для выгрузки вредоносного ПО в память взломанной системы с помощью техники боковой загрузки DLL. Тактика набирает популярность, так как WerFault позволяет скрытно заражать устройства, обходя системы безопасности, которые просто игнорируют легитимный EXE-файл.

Кампанию с использованием новой тактики обнаружили исследователи K7 Security Labs. Эксперты пока не могут приписать её к какой-либо группировке, но предполагают, что за маскировкой Pupy RAT под WerFault стоят китайские хакеры.

Атака начинается с письма с вложением в виде ISO-образа. Если жертва кликает на него, образ монтируется в виде нового диска, содержащего легитимную копию WerFault.exe, а также файлы “faultrep.dll”, “File.xls” и “inventory & our specialties.lnk”. Цепочка заражения начинается с клика жертвы по LNK-файлу, запускающему WerFault. Антивирусы обычно доверяют этой службе, поскольку она легитимна и имеет подпись Microsoft. Затем WerFault запускает "faultrep.dll" из ISO-образа с помощью техники боковой загрузки DLL.

Оригинальный файл “faultrep.dll” необходим для корректной работы WerFault. А вот его копия с образа нужна лишь для запуска вшитого в нее вредоносного кода.

Загрузившись, DLL создает два потока:

  • Выгружающий DLL трояна Pupy в память;
  • Открывающий XLS-файл в качестве отвлекающего маневра.

Pupy RAT – это вредонос, написанный на языке Python, поясняет Securitylab. У него открытый исходный код и он доступен всем желающим. Троян позволяет хакерам возможность выполнять команды, красть данные, устанавливать другие вредоносные программы на зараженном устройстве, а также быстро заражать другие устройства в сети жертвы.

Темы:WindowsУгрозытрояныK7 Security Labs
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...