网络犯罪分子已经开始使用 Windows 系统内置的 Windows 问题报告（WerFault.exe）工具将恶意软件加载到操作系统的内存中。我们知道，WerFault.exe 的用途是报告操作系统和已安装程序操作时的错误。

攻击者使用 DLL 旁加载技术将恶意软件放入内存中，此方法可以悄悄感染设备，不会触发保护程序警报，因为恶意软件是通过合法的 Windows 系统文件启动的。

这一动向引起了 K7 安全实验室专家的注意。研究人员尚未能够准确确定网络犯罪分子的来源，但有一个假设：他们来自中国。

攻击始于一封包含 ISO 附件的电子邮件

攻击者会发送一封包含 ISO 附件的电子邮件。当用户双击映像时，它会安装驱动器，其中包含可执行文件 Windows WerFault.exe 、一个DLL文件（faultrep.dll），一个 XLS文件（File.xls）以及一个快捷方式文件（’inventory & our specialties.lnk’）。

感染链搭建

一旦受害者单击快捷方式，感染链就启动了。“scriptrunner”.exe“ 会运行 “WerFault.exe”，该文件负责跟踪并向 Microsoft 报告 Windows 10和11中的错误。

各种防病毒软件倾向于信任 WerFault，因为此执行文件获得 Microsoft 的签名。启动 WerFault.exe 之后，该恶意软件将使用已知的 DLL 侧载缺陷来加载 ISO 中包含的恶意 “faultrep.dll” DLL。

一般来说，”faultrep.dll”文件是 Microsoft 在 C:WindowsSystem 文件夹中为 WerFault 正确运行配置的合法 DLL，攻击者会使用恶意副本，其部分代码由有效负载启动。

加载 DLL 后，将创建两个线程，其中一个线程把 Pupy 木马加载到内存中，另一个打开 XLS 表以创建进程合法的假象。Pupy 可以让操作员远程访问受害者的设备。