Eine neue Malware-Kampagne nutzt die WerFault.exe als Angriffswerkzeug um einen Trojaner auf Windows-Systeme zu laden. Die WerFault.exe ist ein Tool, das bei Windows-Fehlern automatisch erscheint und um Erlaubnis bittet, einen Fehlerbericht an Microsoft zu senden. Durch das sogenannte DLL-Sideloading können Hacker eine Malware in den Speicher der infizierten Geräte laden, ohne entdeckt zu werden. Dieses Vorgehen wird bereits seit einiger Zeit von Cyberkriminellen genutzt um auf Systeme zuzugreifen.
Malware-Kampagne startet mit E-Mail-Anhang
Die infizierte WerFault.exe wird oft per E-Mail verteilt. In der E-Mail befindet sich eine ISO-Datei die eine Kopie der WerFault.exe, eine faultrep.dll, eine File.xls und eine Verknüpfung namens "inventory & our specialties.lnk" enthält. Beim Klicken auf die Verknüpfungsdatei wird die WerFault.exe ausgeführt die dann die bösartige faultrep.dll per DLL-Sideloading lädt. Dadurch landet die Pupy-Remote-Access-Trojaner DLL (dll_pupyx64.dll) im Speicher des Systems. Die Malware ermöglicht den Hackern den Vollzugriff auf das infizierte Gerät.
Schützen Sie sich vor dieser Art von Angriffen
Um sich vor dieser Art von Angriffen zu schützen, sollten Sie beim Öffnen von E-Mail-Anhängen vorsichtig sein. Eine unerwartete Mail mit einer ISO-Datei im Anhang sollte Sie immer skeptisch machen. Wenn die Mail ebenfalls noch eine ausführbare Datei wie die WerFault.exe enthält, sollten Sie diese sofort löschen. Die Verwendung von Antivirenprogrammen kann ähnlich wie dazu beitragen, das Risiko von Infektionen zu minimieren.
Kommentare
Die Verwendung von Systemdateien als Angriffswerkzeuge ist ein beliebtes Vorgehen von Cyberkriminellen. Die WerFault.exe ist ein weiteres Beispiel dafür, ebenso wie Hacker scheinbar vertrauenswürdige Tools missbrauchen um auf Systeme zuzugreifen. Essenziell bleibt vorsichtig zu sein und verdächtige E-Mails sofort zu löschen um das Risiko von Angriffen zu minimieren.