，黑客濫用微軟Win10/Win11系統(tǒng)內(nèi)置的錯(cuò)誤報(bào)告工具Windows Problem Reporting，通過(guò)DLL側(cè)加載技術(shù)在被感染設(shè)備的內(nèi)存上運(yùn)行惡意軟件。

一開始黑客通過(guò)合法的Windows可執(zhí)行文件啟動(dòng)惡意軟件，整個(gè)過(guò)程不會(huì)觸發(fā)任何警告，從而秘密感染設(shè)備Ksecurity Labs安全公司最先發(fā)現(xiàn)了這種攻擊方法

惡意軟件活動(dòng)始于帶有ISO附件的電子郵件。雙擊ISO文件后，用戶將自己安裝為一個(gè)新的驅(qū)動(dòng)器號(hào)，其中包含Windows WerFault.exe可執(zhí)行文件的合法副本，一個(gè)DLL文件，一個(gè)XLS文件和一個(gè)快捷方式文件(inventory amp我們的特色菜.

本站了解到，受害者通過(guò)點(diǎn)擊快捷方式文件啟動(dòng)了感染鏈，該文件使用scriptrunner.exe來(lái)執(zhí)行WerFault.exeWer是Windows 10和11中使用的標(biāo)準(zhǔn)Windows錯(cuò)誤報(bào)告工具，允許系統(tǒng)跟蹤和報(bào)告與操作系統(tǒng)或應(yīng)用程序相關(guān)的錯(cuò)誤

殺毒工具通常會(huì)信任WerFault，因?yàn)樗俏④浐炇鸬暮戏╓indows可執(zhí)行文件，所以在系統(tǒng)上啟動(dòng)它通常不會(huì)觸發(fā)警報(bào)來(lái)警告受害者。

WerFault.exe啟動(dòng)后，惡意軟件會(huì)利用已知的dll側(cè)加載缺陷，加載ISO中包含的惡意fault rep . DLLDLL。

通常， ' faultlep.dll '文件是Microsoft在C:WindowsSystem32文件夾中要求的合法DLL，以便WerFault正確運(yùn)行但是，ISO中的惡意DLL版本包含啟動(dòng)惡意軟件的附加代碼