



Специалисты «Доктор Веб» обнаружили семейство троянов, распространяемых под видом читов и модов
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger. С их помощью злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей Windows. В заражении участвует несколько троянов, для их запуска используются легитимные приложения. В том числе эксплуатируются уязвимости класса DLL Search Order Hijacking.
В 2024 году компания расследовала инцидент информационной безопасности с попыткой целевой атаки на российское предприятие. В атаке использовалось вредоносное ПО, которое применяло уязвимость DLL Search Order Hijacking в браузере. Программы в Windows ищут нужные библиотеки в определённом порядке. Злоумышленники размещают вредоносные DLL-файлы в каталоге, который будет просматриваться первым. Файл получает имя легитимной библиотеки, которая находится в менее приоритетной директории. В результате программа загружает вредоносный файл, который получает те же права.
После этого в антивирусные продукты Dr.Web была внедрена функция отслеживания и предотвращения попыток эксплуатации DLL Search Order Hijacking. При анализе телеметрии этой функции специалисты выявили попытки загрузки неизвестного ПО в браузеры клиентов. Это позволило обнаружить новую хакерскую кампанию.
Заражение многоступенчатое и начинается с троянов-загрузчиков. Были выявлены две цепочки заражения с разным числом компонентов. В первой цепочке стартовый компонент — Trojan.Scavenger.1, это DLL-файл. Он распространяется в составе пиратских игр, патчей, читов и модов через торренты и игровые сайты. Пример: троян выдаётся за патч для Oblivion Remastered. В ZIP-архиве содержится инструкция:
Drag umpdc.dll and engine.ini to the game folder: \steamapps\common\Oblivion
Читать на habr.com