Os hackers estão utilizando a ferramenta oficial de denunciar erros do Windows para, ironicamente, espalhar malware, informou a K7 Security Labs, uma empresa de segurança. O golpe passa despercebido pela maioria dos softwares antivírus e de proteção, pois está sendo utilizada uma versão genuína do programa.
O golpe começa quando a pessoa recebe um arquivo ISO (imagem de disco) pelo e-mail. Clicando duas vezes no arquivo, ele se monta como um novo drive, contendo o programa legítimo de report de erros do Windows, um arquivo chamado WeFault.exe. E ao clicar nesse arquivo começa a infecção, mas não é ele que está infectado com malware.
No caso desse truque o executável é realmente original e inofensivo, mas o golpe está no arquivo chamado faultrep.dll, que também é contido na ISO dos hackers. O faultrep.dll está contaminado com códigos maliciosos, mas é também um arquivo oficial do Windows, usado pela sua ferramenta de report de erros normalmente.
Ao executar WerFault.exe na ISO, irá carregar o faultrep.dll “mais próximo”, que está no pacote. Esse truque tem até um nome: “sideload de DLL”. Na aparência, o programa funcionará como deve, porém será carregado também um cavalo de troia, conhecido como Pupy RAT.
O Pupy RAT pode executar comandos remotos no sistema infectado, roubar dados, instalar outros malware e também infectar mais computadores que estejam na rede.
O golpe é muito perigoso e possivelmente não será detectado pelo antivírus. Por isso é sempre recomendada atenção redobrada ao baixar arquivos executáveis da internet, e também que se cheque com cuidado o remetente de seus e-mails. Golpistas têm se especializado em se passar por contas oficiais para enviar e-mails, mas geralmente um olhar atento basta para perceber quando é o caso.
