Güvenlik firması K7 Security Labs, bilgisayar korsanlarının resmi Windows hata raporlama aracını ironik bir şekilde kötü amaçlı yazılım yaymak için kullandığını bildirdi. Dolandırıcılık için programın orijinal bir sürümü kullanıldığından, çoğu antivirüs ve koruma yazılımı tarafından tespit edilmiyor.
Hile, kurbanın e-posta yoluyla bir ISO dosyası (disk görüntüsü) almasıyla başlar. Dosyaya çift tıklandığında, kendisini WeFault.exe adlı meşru Windows hata raporlama programını içeren yeni bir sürücü olarak bağlıyor. Enfeksiyonu başlatan bu dosyaya tıklamaktır, ancak kötü amaçlı yazılım bulaşmış olan dosya değildir.
Bu aldatmaca durumunda çalıştırılabilir dosya aslında orijinal ve zararsızdır. Dolandırıcılık, bilgisayar korsanlarının ISO’sunda da bulunan faultrep.dll dosyasındadır. Bu, normalde hata raporlama aracınız tarafından kullanılan başka bir resmi Windows dosyasıdır, ancak bu durumda, faultrep.dll dosyasına kötü amaçlı kod bulaşır.
Ayrıca bkz: Snapdragon 8 Gen 3 Üretimi Qualcomm’a Tuzlu Geldi!
WerFault.exe, ISO’dan çalıştırıldığında, yine pakette bulunan “en yakın” faultrep.dll dosyasını yükleyecektir. Bu numaranın bir adı bile var o da DLL yan yükleme. Görünüşte program olması gerektiği gibi çalışacak. Ancak Pupy RAT olarak bilinen bir truva atı da yükleniyor.
Pupy RAT, bulaştığı sistemde uzaktan komutlar çalıştırabilir, veri çalabilir, başka kötü amaçlı yazılımlar yükleyebilir ve ağdaki diğer bilgisayarlara da bulaşabilir.
Bu, büyük olasılıkla antivirüsünüz tarafından tespit edilemeyecek tehlikeli bir dolandırıcılıktır. Bu nedenle, internetten yürütülebilir dosyaları indirirken her zaman daha fazla dikkat etmeniz ve e-postalarınızın göndericisini dikkatlice kontrol etmeniz önerilir.
Dolandırıcılar, e-posta göndermek için resmi hesapları taklit etme konusunda uzmanlaşmıştır, ancak genellikle durumun böyle olduğunu fark etmek için daha yakından bakmak yeterlidir.