Los investigadores de ciberseguridad han identificado una nueva familia de malware denominada Trojan.Scavenger, diseñada específicamente para comprometer billeteras de criptomonedas y gestores de contraseñas en sistemas Windows. Esta sofisticada amenaza emplea técnicas avanzadas de DLL Search Order Hijacking para evadir las defensas tradicionales y ejecutar sus operaciones maliciosas a través de aplicaciones legítimas.
Funcionamiento del Ataque DLL Search Order Hijacking
La efectividad de esta ciberamenaza radica en explotar las características inherentes del sistema operativo Windows durante el proceso de carga de bibliotecas dinámicas. Cuando una aplicación se ejecuta, Windows busca las bibliotecas DLL necesarias siguiendo un orden específico de directorios predefinidos.
Los atacantes aprovechan esta secuencia colocando archivos DLL maliciosos en ubicaciones prioritarias, utilizando nombres idénticos a bibliotecas legítimas del sistema. Esta estrategia garantiza que el código malicioso se cargue antes que los archivos originales, estableciendo un punto de entrada persistente en el sistema comprometido.
Vectores de Infección y Propagación
Distribución a Través de Contenido de Gaming
Los analistas han documentado múltiples cadenas de infección, siendo la más prevalente aquella que utiliza Trojan.Scavenger.1 como componente inicial. Este archivo DLL se distribuye camuflado como contenido relacionado con videojuegos, incluyendo versiones pirateadas, parches no oficiales, trucos y modificaciones a través de sitios de torrents y plataformas gaming.
Un caso particularmente notable involucra la suplantación de un parche para Oblivion Remastered. Los ciberdelincuentes proporcionan instrucciones detalladas que convencen a las víctimas de colocar el archivo umpdc.dll en el directorio del juego, supuestamente para optimizar el rendimiento. La selección de este nombre no es casual, ya que existe una biblioteca legítima con la misma denominación en las carpetas del sistema Windows.
Arquitectura de Carga Modular
Una vez activada la primera etapa, el malware descarga componentes adicionales desde servidores remotos controlados por los atacantes. Esta arquitectura incluye Trojan.Scavenger.2, que posteriormente instala los módulos Trojan.Scavenger.3 y Trojan.Scavenger.4, cada uno especializado en atacar diferentes tipos de software objetivo.
Técnicas de Compromiso de Aplicaciones Objetivo
Manipulación de Navegadores Chromium
El componente Trojan.Scavenger.3 se enfoca específicamente en navegadores basados en Chromium, incluyendo Google Chrome, Microsoft Edge, Yandex Browser y Opera. Una vez infiltrado, el trojan implementa modificaciones críticas en la arquitectura del navegador.
El malware desactiva mecanismos de seguridad fundamentales, incluyendo el entorno sandbox que normalmente aísla la ejecución de código JavaScript. Adicionalmente, neutraliza las verificaciones de extensiones mediante la identificación y modificación de funciones específicas en las bibliotecas de Chromium.
La funcionalidad más peligrosa involucra la alteración de extensiones de billeteras criptográficas instaladas, específicamente Phantom, Slush y MetaMask, así como gestores de contraseñas como Bitwarden y LastPass. El trojan genera copias modificadas en el directorio %TEMP%/ServiceWorkerCache e intercepta funciones del sistema para redirigir las rutas hacia los archivos comprometidos.
Ataque Especializado contra Exodus
El módulo Trojan.Scavenger.4 está diseñado exclusivamente para comprometer la billetera criptográfica Exodus. Operando bajo la identidad de la biblioteca del sistema profapi.dll, este componente intercepta funciones del motor JavaScript V8 para monitorear los datos JSON de la aplicación.
El trojan rastrea específicamente la clave «passphrase» en las estructuras JSON para obtener la frase mnemónica del usuario, extrayendo posteriormente la clave privada seed.seco. Esta combinación de credenciales otorga acceso completo y irrestricto a los fondos almacenados en la billetera de la víctima.
Características Técnicas y Evasión
Todos los componentes de la familia Trojan.Scavenger incorporan técnicas avanzadas de evasión diseñadas para evitar la detección por parte de soluciones de seguridad. Los módulos maliciosos ejecutan verificaciones exhaustivas del entorno para identificar máquinas virtuales o modos de depuración, terminando su ejecución cuando detectan indicadores de análisis forense.
El malware implementa un protocolo unificado de comunicación con servidores de comando y control que incluye un proceso de dos etapas para la generación y verificación de claves de cifrado, utilizando marcas temporales para complicar significativamente el análisis del tráfico de red.
La emergencia de amenazas sofisticadas como Trojan.Scavenger subraya la necesidad crítica de mantener actualizaciones constantes del software, implementar soluciones antimalware robustas y ejercer precaución extrema al descargar contenido de fuentes no verificadas. Los usuarios de criptomonedas deben considerar la adopción de billeteras hardware y autenticación multifactor como medidas de protección esenciales para salvaguardar sus activos digitales.
