，黑客滥用微软Win10/Win11系统内置的错误报告工具Windows Problem Reporting，通过DLL侧加载技术在被感染设备的内存上运行恶意软件。

一开始黑客通过合法的Windows可执行文件启动恶意软件，整个过程不会触发任何警告，从而秘密感染设备Ksecurity Labs安全公司最先发现了这种攻击方法

恶意软件活动始于带有ISO附件的电子邮件。双击ISO文件后，用户将自己安装为一个新的驱动器号，其中包含Windows WerFault.exe可执行文件的合法副本，一个DLL文件，一个XLS文件和一个快捷方式文件(inventory amp我们的特色菜.

本站了解到，受害者通过点击快捷方式文件启动了感染链，该文件使用scriptrunner.exe来执行WerFault.exeWer是Windows 10和11中使用的标准Windows错误报告工具，允许系统跟踪和报告与操作系统或应用程序相关的错误

杀毒工具通常会信任WerFault，因为它是微软签署的合法Windows可执行文件，所以在系统上启动它通常不会触发警报来警告受害者。

WerFault.exe启动后，恶意软件会利用已知的dll侧加载缺陷，加载ISO中包含的恶意fault rep . DLLDLL。

通常， ' faultlep.dll '文件是Microsoft在C:WindowsSystem文件夹中要求的合法DLL，以便WerFault正确运行但是，ISO中的恶意DLL版本包含启动恶意软件的附加代码