محققین k7computing یه کمپینی رو شناسایی کردن که از WerFault.exe برای استقرار بدافزارشون استفاده میکنن. این محققین نتونستن هکرها رو شناسایی کنن ولی احتمال میدن که چینی هستن.
فایل اجرایی WerFault.exe برای گزارش خطاها و مشکلات در ویندوز استفاده میشه.
کمپین با ارسال یه ایمیل که دارای ضمیمه ISO هستش ، شروع میشه. تو این فایل ، WerFault.exe و faultrep.dll و File.xls و یه شورتکات با نام inventory & our specialties.lnk وجود داره.
قربانی با کلیک کردن روی فایل شورتکات منجر به اجرای WerFault.exe میشه. با توجه به اینکه WerFault.exe ابزار قانونی و دارای امضای مایکروسافت هستش ، آنتی ویروسها بهش گیر نمیدن. (تکنیک LOLBIN)
اجرایی WerFault.exe دارای یه نقص DLL sideloading هستش که امکان اجرای DLL رو میده که در این مورد faultrep.dll اجرا میشه. نسخه قاونی این DLL در system32 هستش اما موردی که تو ISO هستش ، دارای کدهای مخرب هست.
بعد از لوود DLL مخرب ، دو تا thread اجرا میشه که یکیش Pupy RAT رو در حافظه اجرا میکنه و یکی هم فایل XLS رو باز میکنه که قربانی شک نکنه.