Les pirates ont trouvé une nouvelle façon intelligente d’abuser de l’un des propres outils de Microsoft pour propager des logiciels malveillants sur des PC Windows compromis.
Tel que rapporté par BipOrdinateur (s’ouvre dans un nouvel onglet)chercheurs en sécurité à Laboratoires de sécurité K7 ont découvert une nouvelle campagne dans laquelle les pirates exploitent l’outil de rapport d’erreurs intégré du géant du logiciel Windows Problem Reporting (WerFault.exe) pour propager le malware Pupy RAT.
Ce qui rend cette campagne particulièrement dangereuse, c’est le fait qu’elle est capable de contourner les logiciels de sécurité car elle utilise un outil fourni avec Windows 10 et Windows 11. Aucune alarme n’est déclenchée, ce qui signifie qu’elle n’est pas détectée par Microsoft Defender ou autre Logiciel antivirus.
Bien que K7 Security Labs n’ait pas pu identifier les pirates responsables, on pense qu’ils sont basés en Chine.
Chargement latéral de DLL
Cette nouvelle campagne de logiciels malveillants se propage via des images ISO jointes à des e-mails, mais les chercheurs de K7 Security Labs ont également expliqué dans un article de blog (s’ouvre dans un nouvel onglet) qu’ils ont trouvé une image ISO malveillante nommée « inventaire récent et nos spécialités.iso » dans un flux sur Twitter.
Indépendamment de la façon dont l’ISO se retrouve sur la machine Windows d’une victime potentielle, lorsqu’on clique dessus, il se monte comme une nouvelle lettre de lecteur qui contient une copie légitime de WerFault.exe de Microsoft avec un fichier DLL (faultrep.dll), un fichier XLS ( File.xls) et un fichier raccourci (inventaire & nos spécialités.lnk).
En cliquant sur le fichier de raccourci, la chaîne d’infection démarre et « scriptrunner.exe » est ensuite utilisé pour exécuter l’outil de rapport de problèmes Windows de Microsoft. Lorsque cela se produit, les pirates exploitent une faille connue de chargement latéral de DLL pour charger la bibliothèque de liens dynamiques malveillante (DLL) fichier à l’intérieur de l’ISO.
Alors que ‘faultrep.dll’ est un fichier DLL légitime normalement utilisé par WerFault.exe, ce processus le remplace par une version malveillante du fichier utilisé pour lancer le logiciel malveillant Pupy RAT. Cependant, le fichier DLL malveillant doit se trouver au même emplacement que l’exécutable – dans ce cas WerFault.exe – pour que Windows lui donne la priorité sur l’original. Il doit également porter exactement le même nom.
À ce stade, le logiciel malveillant Pupy RAT est chargé en mémoire sur une machine compromise tandis qu’une feuille de calcul XLS est ouverte pour distraire la victime et lui faire croire que tout va bien. Cependant, le logiciel malveillant Pupy RAT peut désormais exécuter des commandes, voler des données, se propager latéralement à d’autres ordinateurs via un réseau ou même installer des logiciels malveillants supplémentaires.
Comment protéger vos appareils Windows contre les logiciels malveillants
Lorsqu’il s’agit de rester à l’abri du malware Pupy RAT diffusé dans cette campagne, vous souhaitez éviter de télécharger des images ISO en ligne, qu’elles soient publiées sur les réseaux sociaux ou envoyées en pièce jointe à un e-mail. Cela est vrai pour les autres logiciels malveillants, car tout fichier que vous téléchargez peut infecter votre PC Windows.
Même si cela ne fonctionnerait pas dans ce cas, vous devez installer l’un des meilleur logiciel antivirus solutions sur votre ordinateur pour le protéger des logiciels malveillants. En même temps, vous voulez également vous assurer que Windows Defender est activé car il fournit également une protection contre les logiciels malveillants.
Le moyen le plus simple de rester à l’abri des logiciels malveillants est de faire preuve de prudence en ligne. Ne cliquez pas sur les liens dans les e-mails ou les messages d’expéditeurs inconnus et soyez extrêmement prudent sur les types de fichiers que vous téléchargez et d’où vous les téléchargez.
Nous en saurons probablement plus sur cette campagne une fois que les pirates responsables auront été correctement identifiés et Microsoft pourrait également intervenir pour empêcher l’utilisation de l’un de ses propres outils pour propager des logiciels malveillants sur les PC Windows.