，黑客濫用微軟Win10/Win11系統(tǒng)內(nèi)置的錯誤報告工具Windows Problem Reporting，通過DLL側(cè)加載技術(shù)在被感染設備的內(nèi)存上運行惡意軟件。

一開始黑客通過合法的Windows可執(zhí)行文件啟動惡意軟件，整個過程不會觸發(fā)任何警告，從而秘密感染設備Ksecurity Labs安全公司最先發(fā)現(xiàn)了這種攻擊方法

惡意軟件活動始于帶有ISO附件的電子郵件。雙擊ISO文件后，用戶將自己安裝為一個新的驅(qū)動器號，其中包含Windows WerFault.exe可執(zhí)行文件的合法副本，一個DLL文件，一個XLS文件和一個快捷方式文件(inventory amp我們的特色菜.

本站了解到，受害者通過點擊快捷方式文件啟動了感染鏈，該文件使用scriptrunner.exe來執(zhí)行WerFault.exeWer是Windows 10和11中使用的標準Windows錯誤報告工具，允許系統(tǒng)跟蹤和報告與操作系統(tǒng)或應用程序相關(guān)的錯誤

殺毒工具通常會信任WerFault，因為它是微軟簽署的合法Windows可執(zhí)行文件，所以在系統(tǒng)上啟動它通常不會觸發(fā)警報來警告受害者。

WerFault.exe啟動后，惡意軟件會利用已知的dll側(cè)加載缺陷，加載ISO中包含的惡意fault rep . DLLDLL。

通常， ' faultlep.dll '文件是Microsoft在C:WindowsSystem32文件夾中要求的合法DLL，以便WerFault正確運行但是，ISO中的惡意DLL版本包含啟動惡意軟件的附加代碼