Estase a detectar a utilización da ferramenta de informe de erros de Windows para executar malware sen alertar aos sistemas de seguridade.
Os sistemas operativos afectados por este ataque son Windows 10 e 11. Neles, o módulo WerFault (WerFault.exe) é a ferramenta de notificación de erros que permite que o sistema rexistre e faga o seguimento de fallos relativos a aplicacións ou ao propio sistema operativo.
O vector de infección é unha mensaxe de correo ao que vai adxunto un ficheiro con extensión ISO. Cando se fai dobre clic sobre el, por defecto o sistema procede a montar unha unidade de almacenamento á que se asigna unha letra e que contén unha copia lexítima do executable WerFault.exe, un arquivo DLL (‘faultrep.dll’), un arquivo xls (‘File.xls’), e un arquivo de ligazón (‘inventory & our specialities.lnk’). Precisamente ao acceder a esa ligazón é cando se desencadea o ataque.
Por tanto, se se recibe unha mensaxe de correo cun arquivo anexo con extensión ISO, será necesario comprobar a súa procedencia e lexitimidade antes de executalo (o que, en xeral, é unha recomendación válida para calquera tipo de arquivo que chegue por correo electrónico).
No artigo enlazado (en inglés), detállanse as técnicas utilizadas neste ataque.
