I ricercatori di K7 Security Labs hanno scoperto che ignoti cybercriminali sfruttano un tool di Windows per installare il malware Pupy RAT che consente di eseguire comandi da remoto sul computer della vittima. Simili metodi sono già stati utilizzati in passato. Uno dei più recenti ha permesso di distribuire QBot attraverso la calcolatrice. Una soluzione di sicurezza aggiornata può rilevare e bloccare questo tipo di minaccia.
Malware installato con WerFault.exe
L’attacco inizia con l’invio di un’email. L’immagine ISO allegata contiene quattro file, tra cui il tool di segnalazione degli errori di Windows (WerFault.exe
). Gli altri tre sono faultrep.dll
, File.xls
e inventory & our specialties.lnk
. L’infezione inizia quando l’utente esegue il file LNK. Viene infatti avviato WerFault.exe
che carica in memoria faultrep.dll
.
La DLL è una versione infetta di quella legittima che si trova nella directory C:\Windows\System
. Tuttavia, Windows sceglie la DLL presente nella stessa directory di WerFault.exe
. La tecnica è nota come DLL sideloading. A questo punto viene visualizzato il file Excel per ingannare l’utente, mentre in memoria viene caricato il file dll_pupyx64.dll
, ovvero Pupy RAT.
Si tratta di un Remote Access Trojan open source scritto in Python che consente di prendere il controllo del computer da remoto, eseguire comandi, rubare file e installare altri malware. Pupy RAT è stato utilizzato in passato da cybercriminali iraniani per operazioni di cyberspionaggio. I ricercatori di K7 Security Labs non hanno però trovato gli autori dei recenti attacchi.