Tool di Windows usato per distribuire Pupy RAT

Tool di Windows usato per distribuire Pupy RAT

Il tool per la segnalazione degli errori di Windows è stato sfruttato per distribuire Pupy RAT, un malware che consente di eseguire comandi da remoto.
Tool di Windows usato per distribuire Pupy RAT
Il tool per la segnalazione degli errori di Windows è stato sfruttato per distribuire Pupy RAT, un malware che consente di eseguire comandi da remoto.

I ricercatori di K7 Security Labs hanno scoperto che ignoti cybercriminali sfruttano un tool di Windows per installare il malware Pupy RAT che consente di eseguire comandi da remoto sul computer della vittima. Simili metodi sono già stati utilizzati in passato. Uno dei più recenti ha permesso di distribuire QBot attraverso la calcolatrice. Una soluzione di sicurezza aggiornata può rilevare e bloccare questo tipo di minaccia.

Malware installato con WerFault.exe

L’attacco inizia con l’invio di un’email. L’immagine ISO allegata contiene quattro file, tra cui il tool di segnalazione degli errori di Windows (WerFault.exe). Gli altri tre sono faultrep.dll, File.xls e inventory & our specialties.lnk. L’infezione inizia quando l’utente esegue il file LNK. Viene infatti avviato WerFault.exe che carica in memoria faultrep.dll.

La DLL è una versione infetta di quella legittima che si trova nella directory C:\Windows\System. Tuttavia, Windows sceglie la DLL presente nella stessa directory di WerFault.exe. La tecnica è nota come DLL sideloading. A questo punto viene visualizzato il file Excel per ingannare l’utente, mentre in memoria viene caricato il file dll_pupyx64.dll, ovvero Pupy RAT.

Si tratta di un Remote Access Trojan open source scritto in Python che consente di prendere il controllo del computer da remoto, eseguire comandi, rubare file e installare altri malware. Pupy RAT è stato utilizzato in passato da cybercriminali iraniani per operazioni di cyberspionaggio. I ricercatori di K7 Security Labs non hanno però trovato gli autori dei recenti attacchi.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
8 gen 2023
Link copiato negli appunti