黑客滥用微软 Windows 10 和 Windows 11 上错误报告工具，通过 DLL 旁加载技术运行恶意软件

1 月 5 日消息 
，黑客s和黑客滥用微软 Win10​ / ​Win11​ 系统中内置的滥用错误报告工具 Windows Problem Reporting（WerFault.exe） ，通过 DLL 旁加载技术在受感染设备的微软内存上运行恶意软件。

黑客首先通过合法的错误 Windows 可执行文件来启动恶意软件 
，整个过程并不会触发任何警告，源码库报告从而隐蔽的工具感染设备 。K7 Security Labs 安全公司率先发现了这种攻击方式 。通过

恶意软件活动始于一封带有 ISO 附件的加载技术电子邮件。用户双击这个 ISO 文件之后，运行将自身挂载为一个新的服务器租用恶意驱动器盘符，其中包含 Windows WerFault.exe 可执行文件的软件合法副本、一个 DLL 文件（“faultrep.dll”） 、黑客s和一个 XLS 文件（“File.xls”）和一个快捷方式文件（inventory & our specialties.lnk） 。滥用

受害者通过单击快捷方式文件启动感染链，微软该快捷方式文件使用“scriptrunner.exe”来执行 WerFault.exe 。免费模板错误WerFault 是 Windows 10 和 11 中使用的标准 Windows 错误报告工具，允许系统跟踪和报告与操作系统或应用程序相关的错误。

防病毒工具通常信任 WerFault，因为它是香港云服务器由 Microsoft 签名的合法 Windows 可执行文件，因此在系统上启动它通常不会触发警报来警告受害者 。

启动 WerFault.exe 之后
，该恶意软件将使用已知的 DLL 侧载缺陷来加载 ISO 中包含的恶意“faultrep.dll”DLL。云计算

通常，faultrep.dll 文件是 Microsoft 在 C:\Windows\System 文件夹中为 WerFault 正确运行所需的合法 DLL。但是
 ，ISO 中的高防服务器恶意 DLL 版本包含用于启动恶意软件的附加代码。