Cybersecurity-Experten von Doctor Web haben eine neue und hochentwickelte Malware-Familie namens Trojan.Scavenger identifiziert, die gezielt Daten aus Kryptowährungs-Wallets und Passwort-Managern von Windows-Nutzern stiehlt. Die Bedrohung nutzt ausgeklügelte Angriffstechniken, die auf der Ausnutzung von DLL Search Order Hijacking-Schwachstellen durch legitime Anwendungen basieren.
DLL Search Order Hijacking: Die Grundlage des Angriffs
Der Erfolg dieser Cyberattacke beruht auf einer spezifischen Eigenschaft des Windows-Betriebssystems. Beim Start einer Anwendung sucht das System nach erforderlichen Bibliotheken (DLL-Dateien) in einer vordefinierten Reihenfolge durch verschiedene Verzeichnisse. Cyberkriminelle platzieren bösartige DLL-Dateien in bevorzugten Suchpfaden und verwenden dabei Namen legitimer Systembibliotheken.
Diese Methode ermöglicht es dem schädlichen Code, vor den ursprünglichen Systemdateien geladen zu werden. Sicherheitsforscher weisen darauf hin, dass diese Technik bereits 2024 für einen gezielten Angriff auf einen russischen Güterbahn-Betreiber durch eine Schwachstelle im Yandex Browser eingesetzt wurde.
Infektionsketten und Malware-Verbreitung
Primäre Infektion über Gaming-Content
Analysten haben zwei Hauptinfektionsketten identifiziert. In der ersten Variante fungiert Trojan.Scavenger.1 als Einstiegskomponente – eine DLL-Datei, die als Raubkopien von Spielen, Patches, Cheats und Modifikationen über Torrent-Tracker und Gaming-Websites verbreitet wird.
Besonders bemerkenswert ist die Tarnung als Patch für das Spiel Oblivion Remastered. Die Angreifer stellen detaillierte Anweisungen bereit und überzeugen das Opfer, die Datei umpdc.dll in das Spielverzeichnis zu platzieren, angeblich zur Leistungsverbesserung. Die Namenswahl ist nicht zufällig – eine legitime Bibliothek mit diesem Namen existiert im Windows-Systemordner.
Mehrstufiger Komponentendownload
Bei erfolgreichem Start lädt die erste Stufe weitere Komponenten von einem entfernten Server herunter: Trojan.Scavenger.2, der anschließend die Module Trojan.Scavenger.3 und Trojan.Scavenger.4 installiert. Jede dieser Komponenten verfügt über spezialisierte Funktionen für Angriffe auf verschiedene Softwaretypen.
Zielsoftware und Datendiebstahl-Methoden
Chromium-Browser im Visier
Die Komponente Trojan.Scavenger.3 spezialisiert sich auf Angriffe gegen Chromium-basierte Browser, einschließlich Google Chrome, Microsoft Edge, Yandex Browser und Opera. Nach der Einschleusung führt der Trojaner kritische Modifikationen durch:
Er deaktiviert Browser-Schutzmechanismen, einschließlich der Sandbox, wodurch die JavaScript-Code-Isolation aufgehoben wird. Zusätzlich wird die Erweiterungsüberprüfung deaktiviert, indem entsprechende Funktionen in Chromium-Bibliotheken gefunden und entsprechende Patches eingespielt werden.
Am gefährlichsten ist die Modifikation installierter Krypto-Wallet-Erweiterungen wie Phantom, Slush und MetaMask sowie Passwort-Manager wie Bitwarden und LastPass. Der Trojaner erstellt modifizierte Kopien im Verzeichnis %TEMP%/ServiceWorkerCache und fängt Systemfunktionen ab, um Pfade zu Originaldateien zu ersetzen.
Gezielter Exodus-Angriff
Die Komponente Trojan.Scavenger.4 zielt ausschließlich auf die Exodus-Kryptowallet ab. Getarnt als Systembibliothek profapi.dll fängt die Malware V8-Engine-Funktionen für JavaScript ab und überwacht JSON-Daten der Anwendung.
Der Trojaner sucht nach dem Schlüssel „passphrase“ in JSON-Strukturen, um die mnemonische Phase des Benutzers zu erhalten, und extrahiert anschließend den privaten Schlüssel seed.seco. Diese Datenkombination gewährt vollständigen Zugriff auf die Kryptowallet des Opfers.
Technische Merkmale und Umgehungsstrategien
Alle Komponenten der Trojan.Scavenger-Familie sind mit fortschrittlichen Erkennungsumgehungstechniken ausgestattet. Die Malware überprüft die Umgebung auf virtuelle Maschinen oder Debug-Modi und beendet sich selbst bei Erkennung von Anzeichen einer künstlichen Umgebung.
Besonders erwähnenswert ist der einheitliche Kommunikationsalgorithmus mit Command-and-Control-Servern. Der Prozess umfasst ein zweistufiges Verfahren zur Verschlüsselungsschlüssel-Erstellung und -Verifizierung unter Verwendung von Zeitstempeln, was die Analyse des Netzwerkverkehrs erheblich erschwert.
Die Entwicklung komplexer Bedrohungen wie Trojan.Scavenger unterstreicht die kritische Bedeutung regelmäßiger Software-Updates, aktueller Antiviren-Lösungen und vorsichtigen Umgangs mit Downloads aus inoffiziellen Quellen. Kryptowährungs-Nutzer sollten besonders auf Hardware-Wallets und Zwei-Faktor-Authentifizierung setzen, um maximalen Schutz ihrer digitalen Assets zu gewährleisten.
