Hacker missbrauchen das Fehlerberichtstool „Windows Problem Reporting“ (WerFault.exe)

Hacker missbrauchen das Fehlerberichtstool „Windows Problem Reporting“ (WerFault.exe) für Windows, um mithilfe einer DLL-Sideloading-Technik Malware in den Speicher eines gefährdeten Systems zu laden.

Die Verwendung dieser ausführbaren Windows-Datei dient dazu, Geräte heimlich zu infizieren, ohne einen Alarm auf dem angegriffenen System auszulösen, indem die Malware über eine legitime ausführbare Windows-Datei gestartet wird.

Die neue Kampagne wurde von K7 Security Labs entdeckt , die die Hacker nicht identifizieren konnten, aber vermutlich in China ansässig sind.

Missbrauch von WerFault.exe

Die Malware-Kampagne beginnt mit dem Eintreffen einer E-Mail mit einem ISO-Anhang. Wenn Sie darauf doppelklicken, stellt sich die ISO als neuer Laufwerksbuchstabe bereit, der eine legitime Kopie der ausführbaren Windows-Datei WerFault.exe, eine DLL-Datei ('faultrep.dll'), eine XLS-Datei ('File.xls') usw. enthält eine Verknüpfungsdatei („inventory & our specialties.lnk“). In der ISO-

Quelle enthaltene Dateien: K7 Labs

Das Opfer startet die Infektionskette, indem es auf die Verknüpfungsdatei klickt, die „scriptrunner.exe“ verwendet, um WerFault.exe auszuführen.

WerFault ist das standardmäßige Windows-Fehlerberichtstool, das in Windows 10 und 11 verwendet wird und es dem System ermöglicht, Fehler im Zusammenhang mit dem Betriebssystem oder Anwendungen zu verfolgen und zu melden.

Windows nutzt das Tool, um einen Fehler zu melden und mögliche Lösungsvorschläge zu erhalten.

Antiviren-Tools vertrauen WerFault im Allgemeinen, da es sich um eine legitime ausführbare Windows-Datei handelt, die von Microsoft signiert wurde. Daher löst der Start auf dem System normalerweise keine Warnungen aus, um das Opfer zu warnen.

Wenn WerFault.exe gestartet wird, nutzt es einen bekannten DLL-Sideloading-Fehler aus, um die schädliche DLL „faultrep.dll“ zu laden, die in der ISO enthalten ist.

Normalerweise ist die Datei „faultrep.dll“ eine legitime DLL von Microsoft im Ordner C:\Windows\System, die für die ordnungsgemäße Ausführung von WerFault erforderlich ist. Allerdings enthält die bösartige DLL-Version in der ISO zusätzlichen Code zum Starten der Malware.

Die Technik, bösartige DLLs unter demselben Namen wie eine legitime DLL zu erstellen, sodass diese stattdessen geladen wird, wird als DLL-Sideloading bezeichnet.

Das seitliche Laden von DLLs erfordert, dass sich eine bösartige Version einer DLL im selben Verzeichnis befindet wie die ausführbare Datei, die sie aufruft. Wenn die ausführbare Datei gestartet wird, priorisiert Windows sie gegenüber ihrer nativen DLL, solange sie denselben Namen hat.

Wenn die DLL bei diesem Angriff geladen wird, werden zwei Threads erstellt, einer, der die DLL des Pupy Remote Access-Trojaners („dll_pupyx64.dll“) in den Speicher lädt, und einer, der die mitgelieferte XLS-Tabelle öffnet, um als Lockvogel zu dienen. Komplette Infektionskette

Quelle: K7 Labs

Pupy RAT ist eine in Python geschriebene Open-Source- und öffentlich verfügbare Malware, die das Laden reflektierender DLLs unterstützt, um einer Erkennung zu entgehen. Zusätzliche Module werden später heruntergeladen.

Die Malware ermöglicht es Bedrohungsakteuren, vollständigen Zugriff auf die infizierten Geräte zu erhalten und so Befehle auszuführen, Daten zu stehlen, weitere Malware zu installieren oder sich lateral über ein Netzwerk zu verbreiten.

Als Open-Source-Tool wurde es von mehreren staatlich unterstützten Spionageakteuren wie den iranischen Gruppen APT33 und APT35 verwendet, da diese Tools die Nachverfolgung von Zuschreibungen und anhaltenden Operationen erschweren.

Im vergangenen Sommer wurde beobachtet, dass QBot-Malware-Distributoren eine ähnliche Angriffskette einführten und den Windows-Rechner missbrauchten, um der Erkennung durch Sicherheitssoftware zu entgehen.

Es wurde festgestellt, dass Hunderte bösartige Python-Pakete vertrauliche Daten stehlen

Von Bill Toula

Eine böswillige Kampagne, die laut Forschern im vergangenen halben Jahr immer komplexer wurde, hat auf Open-Source-Plattformen Hunderte von Informationen stehlenden Paketen platziert, die etwa 75.000 Downloads verzeichneten.

Die Kampagne wird seit Anfang April von Analysten des Supply Chain Security-Teams von Checkmarx beobachtet, die 272 Pakete mit Code zum Diebstahl sensibler Daten aus Zielsystemen entdeckt haben.

Der Angriff hat sich seit seiner ersten Identifizierung erheblich weiterentwickelt, wobei die Paketautoren immer ausgefeiltere Verschleierungsschichten und Techniken zur Umgehung der Erkennung implementiert haben.

Daten- und Kryptodiebstahl

Die Forscher sagen, dass sie „ab Anfang April 2023“ ein Muster im Python-Ökosystem erkennen.

Ein Beispiel dafür ist die Datei „_init_py“, die erst geladen wird, nachdem überprüft wurde, dass sie auf einem Zielsystem und nicht in einer virtualisierten Umgebung ausgeführt wird – ein typisches Zeichen für einen Malware-Analyse-Host. Prüfung auf Virtualisierung (Checkmarx)

Nach dem Start zielt es auf die folgenden Informationen auf den infizierten Systemen ab:

• Auf dem Gerät ausgeführte Antiviren-Tools.
• Aufgabenliste, WLAN-Passwörter und Systeminformationen.
• In Webbrowsern gespeicherte Anmeldeinformationen, Browserverlauf, Cookies und Zahlungsinformationen.
• Daten in Kryptowährungs-Wallet-Apps wie Atomic und Exodus.
• Discord-Abzeichen, Telefonnummern, E-Mail-Adressen und Nitro-Status.
• Minecraft- und Roblox-Benutzerdaten.

Darüber hinaus kann die Malware Screenshots erstellen und einzelne Dateien aus dem kompromittierten System stehlen, beispielsweise aus den Verzeichnissen „Desktop“, „Bilder“, „Dokumente“, „Musik“, „Videos“ und „Downloads“.

Die Zwischenablage des Opfers wird außerdem ständig auf Kryptowährungsadressen überwacht, und die Malware tauscht diese mit der Adresse des Angreifers aus, um Zahlungen an Wallets unter ihrer Kontrolle umzuleiten. Die Clipper-Funktion (Checkmarx)

Die Analysten schätzen, dass durch die Kampagne direkt Kryptowährungen im Wert von etwa 100.000 US-Dollar gestohlen wurden.

App-Manipulation

Checkmarx berichtet , dass die in dieser Kampagne verwendete Malware noch einen Schritt weiter geht als typische Datendiebstahloperationen und Manipulationen von App-Daten durchführt, um einen entscheidenderen Schlag zu versetzen.

Beispielsweise wird das Elektronenarchiv der Kryptowährungs-Wallet-Verwaltungs-App Exodus ersetzt, um Kerndateien zu verändern, sodass die Angreifer die Content-Security-Policy umgehen und Daten exfiltrieren können. Exodus manipulieren (Checkmarx)

Wenn auf Discord bestimmte Einstellungen aktiviert sind, fügt die Malware JavaScript-Code ein, der beim Neustart des Clients ausgeführt wird.

Die Malware verwendet außerdem ein PowerShell-Skript in einem erhöhten Terminal, um Windows-„Hosts“ zu manipulieren, sodass Sicherheitsprodukte, die auf dem angegriffenen Gerät ausgeführt werden, keine Verbindung zu ihren Servern herstellen können.

Entwicklung des Angriffs

Den Forschern zufolge war der Schadcode dieser Kampagne in den Paketen vom April deutlich sichtbar, da es sich um Klartext handelte.

Im Mai begannen die Autoren der Pakete jedoch damit, eine Verschlüsselung hinzuzufügen, um die Analyse zu erschweren. Im August bemerkte der Forscher, dass den Paketen eine mehrschichtige Verschleierung hinzugefügt wurde. Base64-Verschleierung im Code (Checkmarx)

In einem separaten Bericht des Checkmarx-Forschers Yahuda Gelb wurde erwähnt, dass zwei der neuesten Pakete nicht weniger als 70 Verschleierungsebenen verwendeten .

Ebenfalls im August fügten die Malware-Entwickler die Möglichkeit hinzu, Antivirenprodukte zu deaktivieren, fügten Telegram zur Liste der Ziel-Apps hinzu und führten ein Fallback-Datenexfiltrationssystem ein. Entwicklung der Schadsoftware (Checkmarx)

Die Forscher warnen, dass Open-Source-Communitys und Entwickler-Ökosysteme weiterhin anfällig für Angriffe auf die Lieferkette seien und Bedrohungsakteure täglich bösartige Pakete auf weit verbreitete Repositories und Versionskontrollsysteme wie GitHub oder Paketregister wie PyPi und NPM hochladen.

Benutzern wird empfohlen, die Projekte und Paketherausgeber, denen sie vertrauen, genau zu prüfen und wachsam zu sein, wenn es um Tippfehler bei Paketnamen geht.

Eine Liste der in dieser Kampagne verwendeten Schadpakete finden Sie hier .