Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows. В заражении компьютеров участвует несколько троянов семейства, при этом для их запуска используются легитимные приложения, в том числе в них эксплуатируются уязвимости класса DLL Search Order Hijacking.
Введение
В 2024 году компания «Доктор Веб» расследовала инцидент информационной безопасности, связанный с попыткой проведения целевой атаки на одно из российских предприятий. Схема атаки включала применение вредоносного ПО, которое для заражения целевой системы эксплуатировало уязвимость к перехвату порядка поиска DLL (DLL Search Order Hijacking) в популярном веб-браузере. При запуске Windows-приложения производят поиск необходимых для работы библиотек в различных хранилищах и в определенной последовательности. Чтобы «обмануть» программы, злоумышленники размещают вредоносные DLL-файлы там, где поиск будет выполняться в первую очередь — например, в каталоге установки целевого ПО. При этом троянским файлам даются имена легитимных библиотек, которые располагаются в менее приоритетных для поиска директориях. В результате уязвимые программы при старте первыми загружают именно вредоносные DLL. Те работают как их составная часть и получают такие же права.
По следам рассмотренного инцидента наши специалисты внедрили в антивирусные продукты Dr.Web функциональность, которая позволяет отслеживать и предотвращать попытки эксплуатации уязвимостей к перехвату порядка поиска DLL. При изучении телеметрии данной функции вирусные аналитики «Доктор Веб» выявили попытки загрузки неизвестного ранее ВПО сразу в несколько браузеров наших клиентов. Изучение этих случаев и позволило обнаружить новую хакерскую кампанию, о которой пойдет речь в настоящем материале.
