Se ha detectado la utilización de la herramienta de informe de errores de Windows para ejecutar malware sin alertar a los sistemas de seguridad.
Los sistemas operativos afectados por este ataque son Windows 10 y 11. En ellos, el módulo WerFault (WerFault.exe) es la herramienta de notificación de errores que permite que el sistema registre y haga el seguimiento de fallos relativos a aplicaciones o al propio sistema operativo.
El vector de infección es un mensaje de correo al que va adjunto un fichero con extensión ISO. Cuando se hace doble clic sobre él, por defecto el sistema procede a montar una unidad de almacenamiento a la que se asigna una letra y que contiene una copia legítima del ejecutable WerFault.exe, un archivo DLL (‘faultrep.dll’), un archivo xls (‘File.xls’), y un archivo de enlace (‘inventory & our specialities.lnk’). Precisamente al acceder a ese enlace es cuando se desencadena el ataque.
Por lo tanto, si se recibe un mensaje de correo con un archivo anexo con extensión ISO, será necesario comprobar su procedencia y legitimidad antes de ejecutarlo (lo que, en general, es una recomendación válida para cualquier tipo de archivo que llegue por correo electrónico).
En el artículo enlazado (en inglés), se detallan las técnicas utilizadas en este ataque.
