(相关资料图)

1月5日消息，黑客滥用微软 Win10 / Win11 系统中内置的错误报告工具WindowsProblemReporting（WerFault.exe），通过DLL旁加载技术在受感染设备的内存上运行恶意软件。

黑客首先通过合法的Windows可执行文件来启动恶意软件，整个过程并不会触发任何警告，从而隐蔽的感染设备。K7SecurityLabs安全公司率先发现了这种攻击方式。

恶意软件活动始于一封带有ISO附件的电子邮件。用户双击这个ISO文件之后，将自身挂载为一个新的驱动器盘符，其中包含WindowsWerFault.exe可执行文件的合法副本、一个DLL文件（“faultrep.dll”）、一个XLS文件（“File.xls”）和一个快捷方式文件（"inventory&ourspecialties.lnk"）。

受害者通过单击快捷方式文件启动感染链，该快捷方式文件使用“scriptrunner.exe”来执行WerFault.exe。WerFault是 Windows10 和11中使用的标准Windows错误报告工具，允许系统跟踪和报告与操作系统或应用程序相关的错误。

防病毒工具通常信任WerFault，因为它是由Microsoft签名的合法Windows可执行文件，因此在系统上启动它通常不会触发警报来警告受害者。

启动WerFault.exe之后，该恶意软件将使用已知的DLL侧载缺陷来加载ISO中包含的恶意“faultrep.dll”DLL。

通常，"faultrep.dll"文件是Microsoft在C:\Windows\System文件夹中为WerFault正确运行所需的合法DLL。但是，ISO中的恶意DLL版本包含用于启动恶意软件的附加代码。