Российские специалисты по кибербезопасности из компании «Доктор Веб» выявили новое семейство вредоносного программного обеспечения Trojan.Scavenger, специализирующееся на краже данных из криптокошельков и менеджеров паролей пользователей Windows. Злоумышленники используют изощренную технику атаки, основанную на эксплуатации уязвимостей DLL Search Order Hijacking через легитимные приложения.
Механизм атаки: эксплуатация уязвимостей DLL Search Order Hijacking
Основа успеха данной кибератаки заключается в особенностях работы операционной системы Windows. При запуске приложения система выполняет поиск необходимых библиотек (DLL-файлов) в определенной последовательности по различным директориям. Киберпреступники размещают вредоносные DLL-файлы в приоритетных для поиска местах, присваивая им имена легитимных системных библиотек.
Такой подход позволяет вредоносному коду загружаться первым, опережая оригинальные системные файлы. Исследователи отмечают, что подобная техника уже использовалась в 2024 году для проведения целевой атаки на российского оператора грузовых железнодорожных перевозок через уязвимость в «Яндекс Браузере».
Цепочки заражения и распространение малвари
Первичная инфекция через игровой контент
Аналитики выявили две основные цепочки заражения. В первой схеме начальным компонентом выступает Trojan.Scavenger.1 — DLL-файл, который распространяется под видом пиратских игр, патчей, читов и модификаций через торрент-трекеры и игровые сайты.
Особый интерес представляет способ маскировки под патч для игры Oblivion Remastered. Злоумышленники предоставляют детальные инструкции, убеждая жертву поместить файл umpdc.dll в игровую директорию якобы для улучшения производительности. Выбор имени файла неслучаен — легитимная библиотека с таким названием существует в системной папке Windows.
Многоступенчатая загрузка компонентов
При успешном запуске первая стадия загружает с удаленного сервера следующие компоненты: Trojan.Scavenger.2, который затем устанавливает модули Trojan.Scavenger.3 и Trojan.Scavenger.4. Каждый из этих компонентов имеет специализированные функции для атаки на различные типы программного обеспечения.
Целевые приложения и методы кражи данных
Атаки на Chromium-браузеры
Компонент Trojan.Scavenger.3 специализируется на атаках браузеров на базе Chromium, включая Google Chrome, Microsoft Edge, Яндекс Браузер и Opera. После внедрения троян выполняет критические модификации:
Отключает защитные механизмы браузера, включая песочницу (sandbox), что устраняет изоляцию JavaScript-кода. Деактивирует проверку расширений, находя соответствующие функции в библиотеках Chromium и внося необходимые патчи.
Наиболее опасным является модификация установленных расширений криптокошельков Phantom, Slush и MetaMask, а также менеджеров паролей Bitwarden и LastPass. Троян создает модифицированные копии в директории %TEMP%/ServiceWorkerCache и перехватывает системные функции для подмены путей к оригинальным файлам.
Специализированная атака на Exodus
Компонент Trojan.Scavenger.4 нацелен исключительно на криптокошелек Exodus. Маскируясь под системную библиотеку profapi.dll, вредонос перехватывает функцию движка V8 для JavaScript и отслеживает JSON-данные приложения.
Троян ищет ключ «passphrase» в JSON-структурах, получая мнемоническую фразу пользователя, а затем извлекает приватный ключ seed.seco. Эта комбинация данных предоставляет полный доступ к криптокошельку жертвы.
Технические особенности и защитные механизмы
Все компоненты семейства Trojan.Scavenger оснащены продвинутыми техниками уклонения от обнаружения. Вредоносы выполняют проверку окружения на наличие виртуальных машин или режима отладки, завершая работу при обнаружении признаков искусственной среды.
Особого внимания заслуживает унифицированный алгоритм связи с командными серверами. Процесс включает двухэтапную процедуру создания ключа шифрования и его верификации с использованием временных меток, что значительно затрудняет анализ сетевого трафика.
Развитие таких сложных угроз, как Trojan.Scavenger, подчеркивает критическую важность регулярного обновления программного обеспечения, использования актуальных антивирусных решений и осторожного отношения к загрузке контента из неофициальных источников. Пользователям криптовалют особенно важно применять аппаратные кошельки и двухфакторную аутентификацию для максимальной защиты цифровых активов.
