Des cybercriminels ont été repérés en train de télécharger des logiciels malveillants (s’ouvre dans un nouvel onglet) sur les terminaux Windows vulnérables via un outil légitime de signalement des problèmes Windows appelé WerFault.exe.
Selon des chercheurs de K7 Security Labs, qui ont découvert la campagne pour la première fois, des pirates (vraisemblablement de Chine) enverraient un e-mail de phishing contenant un fichier ISO. ISO est un fichier image de disque optique qui, lorsqu’il est exécuté, se charge comme une nouvelle lettre de lecteur (comme si l’utilisateur chargeait un CD ou un DVD).
Dans ce cas, l’ISO contient une copie propre de l’exécutable WerFault.exe, mais également trois fichiers supplémentaires – un fichier DLL nommé faultrep.dll, un fichier XLS appelé File.xls et un fichier de raccourci appelé Inventory & Our specialities.lnk .
Abus de logiciels légitimes
La victime cliquerait d’abord sur le fichier de raccourci, qui exécuterait le fichier WerFault.exe légitime. Étant donné qu’il s’agit de fichiers sains, ils ne déclencheront aucune alarme antivirus.
Ensuite, WerFault.exe essaiera de charger faultrep.dll qui, dans des circonstances habituelles, est également un fichier légitime nécessaire pour exécuter le programme correctement. Cependant, WerFault recherchera d’abord le fichier dans le même dossier où il réside, et si la DLL est malveillante (comme c’est le cas ici), il exécutera essentiellement le logiciel malveillant. Cette technique s’appelle le chargement latéral de logiciels malveillants.
Selon K7 Security Labs, la DLL créera deux threads, l’un chargeant la DLL du cheval de Troie d’accès à distance Pupy (dll_pupyx64.dll) en mémoire, et l’autre qui ouvre File.xls – un fichier leurre qui ne sert à rien d’autre que de garder la victime occupée tandis que le logiciel malveillant se charge sur le terminal.
Pupy donne aux pirates un accès complet à l’appareil cible, leur permettant d’exécuter des commandes, de voler des données ou de se déplacer sur le réseau comme ils le souhaitent.
Selon BipOrdinateurPupy a été utilisé par les acteurs de la menace APT33 et APT35 parrainés par l’État iranien, ainsi que par des pirates cherchant à distribuer le logiciel malveillant QBot.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)