黑客滥用微软 Windows 10 和 Windows 11 上错误报告工具，通过 DLL 旁加载技术运行恶意软件

1 月 5 日消息，黑客s和黑客滥用微软 Win10​ / ​Win11​ 系统中内置的滥用错误报告工具 Windows Problem Reporting（WerFault.exe），通过 DLL 旁加载技术在受感染设备的微软内存上运行恶意软件 。

黑客首先通过合法的错误 Windows 可执行文件来启动恶意软件，整个过程并不会触发任何警告，服务器租用报告从而隐蔽的工具感染设备。K7 Security Labs 安全公司率先发现了这种攻击方式 。通过

恶意软件活动始于一封带有 ISO 附件的加载技术电子邮件。用户双击这个 ISO 文件之后 ，运行将自身挂载为一个新的模板下载恶意驱动器盘符，其中包含 Windows WerFault.exe 可执行文件的软件合法副本、一个 DLL 文件（“faultrep.dll”）
、黑客s和一个 XLS 文件（“File.xls”）和一个快捷方式文件（inventory & our specialties.lnk） 。滥用

受害者通过单击快捷方式文件启动感染链，微软该快捷方式文件使用“scriptrunner.exe”来执行 WerFault.exe。云计算错误WerFault 是 Windows 10 和 11 中使用的标准 Windows 错误报告工具，允许系统跟踪和报告与操作系统或应用程序相关的错误
。

防病毒工具通常信任 WerFault，因为它是源码下载由 Microsoft 签名的合法 Windows 可执行文件 ，因此在系统上启动它通常不会触发警报来警告受害者 。

启动 WerFault.exe 之后，该恶意软件将使用已知的 DLL 侧载缺陷来加载 ISO 中包含的恶意“faultrep.dll”DLL 。高防服务器

通常
 ，faultrep.dll 文件是 Microsoft 在 C:\Windows\System 文件夹中为 WerFault 正确运行所需的合法 DLL 。但是 ，ISO 中的香港云服务器恶意 DLL 版本包含用于启动恶意软件的附加代码 。