Windows Error Reporting używany w bezplikowych atakach

[Grandalf]

17 września odkryto nowy atak o nazwie Kraken, który wstrzyknął swój ładunek do usługi raportowania błędów systemu Windows (WER) jako mechanizm unikania obrony. Ta usługa raportowania, WerFault.exe, jest zwykle wywoływana, gdy wystąpi błąd związany z systemem operacyjnym, funkcjami systemu Windows lub aplikacjami. Kiedy ofiary widzą WerFault.exe działające na ich komputerze, prawdopodobnie zakładają, że wystąpił jakiś błąd, podczas gdy w tym przypadku faktycznie byli celem ataku.

Chociaż ta technika nie jest nowa, kampania rozpoczęła się od ataku phishingowego, który skusił ofiary do roszczenia o odszkodowanie od pracownika. Po nim następuje framework CactusTorch do wykonania ataku bezplikowego, po którym następuje kilka technik antyanalizy.

Zaloguj lub Zarejestruj się aby zobaczyć!