Фахівці з кібербезпеки виявили нову серйозну загрозу для користувачів криптовалют та менеджерів паролів. Вредоносне програмне забезпечення Trojan.Scavenger використовує складну техніку атак через уразливості DLL Search Order Hijacking, що дозволяє зловмисникам отримувати повний доступ до цифрових активів жертв.
Принцип роботи DLL Search Order Hijacking
Основа успішності цієї кіберзагрози полягає в експлуатації особливостей архітектури Windows. Операційна система під час запуску додатків шукає необхідні динамічні бібліотеки (DLL-файли) за певним алгоритмом у різних директоріях. Хакери розміщують шкідливі DLL-файли в пріоритетних для пошуку місцях, надаючи їм імена легітимних системних бібліотек.
Це дозволяє вредоносному коду завантажуватися першим, випереджаючи оригінальні системні компоненти. Подібна методика вже використовувалася у 2024 році для проведення цільових атак на критичну інфраструктуру через уразливості у популярних браузерах.
Схеми розповсюдження та ланцюги зараження
Маскування під ігровий контент
Дослідники виявили дві основні схеми поширення трояна. Перша використовує Trojan.Scavenger.1 – початковий DLL-компонент, що розповсюджується через торрент-трекери під виглядом піратських ігор, патчів та модифікацій.
Особливо цікавим є спосіб маскування під патч для гри Oblivion Remastered. Кіберзлочинці надають детальні інструкції, переконуючи жертву помістити файл umpdc.dll у ігрову директорію нібито для покращення продуктивності. Назва файлу обрана невипадково – легітимна бібліотека з таким ім’ям існує в системній папці Windows.
Багатоетапне завантаження модулів
При успішному запуску перша стадія завантажує з віддаленого сервера наступні компоненти: Trojan.Scavenger.2, який встановлює модулі Trojan.Scavenger.3 та Trojan.Scavenger.4. Кожен компонент має спеціалізовані функції для атак на різні типи програмного забезпечення.
Цільові додатки та методи викрадення інформації
Компроментація Chromium-браузерів
Модуль Trojan.Scavenger.3 спеціалізується на атаках браузерів на базі Chromium, включаючи Google Chrome, Microsoft Edge, Яндекс Браузер та Opera. Після впровадження троян виконує критичні модифікації системи безпеки.
Вредонос відключає захисні механізми браузера, включаючи пісочницю (sandbox), що усуває ізоляцію JavaScript-коду. Деактивує перевірку розширень, знаходячи відповідні функції в бібліотеках Chromium та вносячи необхідні патчі.
Найнебезпечнішою є модифікація встановлених розширень криптогаманців Phantom, Slush та MetaMask, а також менеджерів паролів Bitwarden та LastPass. Троян створює змінені копії в директорії %TEMP%/ServiceWorkerCache та перехоплює системні функції для підміни шляхів до оригінальних файлів.
Спеціалізована атака на криптогаманець Exodus
Компонент Trojan.Scavenger.4 орієнтований виключно на криптогаманець Exodus. Маскуючись під системну бібліотеку profapi.dll, шкідливе ПЗ перехоплює функцію рушія V8 для JavaScript та відстежує JSON-дані додатка.
Троян шукає ключ “passphrase” у JSON-структурах, отримуючи мнемонічну фразу користувача, а потім витягує приватний ключ seed.seco. Ця комбінація даних надає повний доступ до криптогаманця жертви.
Технічні особливості та механізми приховування
Усі компоненти сімейства Trojan.Scavenger оснащені просунутими техніками ухилення від виявлення. Вредоноси виконують перевірку середовища на наявність віртуальних машин або режиму налагодження, завершуючи роботу при виявленні ознак штучного середовища.
Особливої уваги заслуговує уніфікований алгоритм зв’язку з командними серверами. Процес включає двоетапну процедуру створення ключа шифрування та його верифікації з використанням часових міток, що значно ускладнює аналіз мережевого трафіку.
Поява таких складних загроз, як Trojan.Scavenger, підкреслює критичну важливість комплексного підходу до кібербезпеки. Користувачам рекомендується регулярно оновлювати програмне забезпечення, використовувати сучасні антивірусні рішення та уникати завантаження контенту з неофіційних джерел. Власникам криптовалют особливо важливо застосовувати апаратні гаманці та двофакторну автентифікацію для максимального захисту цифрових активів.
