Геймерам приготовиться: под видом читов и модов мошенники распространяют Trojan.Scavenger для кражи криптовалюты и паролей

22 июля 2025 года

Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows. В заражении компьютеров участвует несколько троянов семейства, при этом для их запуска используются легитимные приложения, в том числе в них эксплуатируются уязвимости класса DLL Search Order Hijacking.

Введение

В 2024 году компания «Доктор Веб» расследовала инцидент информационной безопасности, связанный с попыткой проведения целевой атаки на одно из российских предприятий. Схема атаки включала применение вредоносного ПО, которое для заражения целевой системы эксплуатировало уязвимость к перехвату порядка поиска DLL (DLL Search Order Hijacking) в популярном веб-браузере. При запуске Windows-приложения производят поиск необходимых для работы библиотек в различных хранилищах и в определенной последовательности. Чтобы «обмануть» программы, злоумышленники размещают вредоносные DLL-файлы там, где поиск будет выполняться в первую очередь — например, в каталоге установки целевого ПО. При этом троянским файлам даются имена легитимных библиотек, которые располагаются в менее приоритетных для поиска директориях. В результате уязвимые программы при старте первыми загружают именно вредоносные DLL. Те работают как их составная часть и получают такие же права.

По следам рассмотренного инцидента наши специалисты внедрили в антивирусные продукты Dr.Web функциональность, которая позволяет отслеживать и предотвращать попытки эксплуатации уязвимостей к перехвату порядка поиска DLL. При изучении телеметрии данной функции вирусные аналитики «Доктор Веб» выявили попытки загрузки неизвестного ранее ВПО сразу в несколько браузеров наших клиентов. Изучение этих случаев и позволило обнаружить новую хакерскую кампанию, о которой пойдет речь в настоящем материале.

Заражение компьютеров вредоносными программами Trojan.Scavenger является многоступенчатым и начинается с троянов-загрузчиков, попадающих в целевые системы различными способами. Наши специалисты выявили две цепочки данной кампании с разным числом задействованных троянских компонентов.

Цепочка из трех загрузчиков

В этой цепочке заражения стартовым компонентом является вредоносная программа Trojan.Scavenger.1, представляющая собой динамическую библиотеку (DLL). Она может распространяться как в составе пиратских игр, так и под видом различных игровых патчей, читов и модов через торренты и посвященные игровой тематике сайты. Далее мы рассмотрим пример, где мошенники выдают трояна за патч.

Trojan.Scavenger.1 распространяется в ZIP-архиве вместе с инструкцией по установке. В ней злоумышленники побуждают потенциальную жертву поместить «патч» в каталог с игрой Oblivion Remastered — якобы для улучшения ее производительности:

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Имя вредоносного файла выбрано атакующими не случайно: в ОС Windows легитимный файл с именем umpdc.dll располагается в системном каталоге %WINDIR%\System32. Он является частью графического API, которое используют различные программы, в том числе игры. Если в установленной у жертвы версии игры присутствует незакрытая уязвимость, копируемый троянский файл будет автоматически запускаться вместе ней. Стоит отметить, что актуальная на момент проведения исследования версия игры Oblivion Remastered корректно обрабатывала очередность поиска библиотеки umpdc.dll, поэтому в рассматриваемом примере Trojan.Scavenger.1 не мог автоматически запуститься с ней и продолжить цепочку заражения.

При успешном старте троян скачивает с удаленного сервера и запускает следующую стадию — загрузчика Trojan.Scavenger.2 (tmp6FC15.dll). Тот в свою очередь скачивает и устанавливает в систему другие модули семейства — Trojan.Scavenger.3 и Trojan.Scavenger.4.

Trojan.Scavenger.3 представляет собой динамическую библиотеку version.dll, которая копируется в каталог одного из целевых браузеров, построенных на базе движка Chromium. Она имеет такое же имя, как и одна из системных библиотек в директории %WINDIR%\System32. Уязвимые к перехвату порядка поиска DLL браузеры не проверяют, откуда загружается библиотека с таким именем. А поскольку троянский файл находится в их каталоге, он имеет приоритет над легитимной системной библиотекой и загружается первым. Наши вирусные аналитики зафиксировали попытки эксплуатации данной уязвимости в браузерах Google Chrome, Microsoft Edge, Яндекс Браузере и Opera.

После старта Trojan.Scavenger.3 отключает защитные механизмы целевого браузера — например, запуск его песочницы, — в результате чего в нем пропадает изоляция выполняемого JS-кода. Кроме того, троян отключает проверку расширений в браузере. Для этого он определяет соответствующую библиотеку Chromium по наличию в ней экспортируемой функции CrashForExceptionInNonABICompliantCodeRange. Затем он выполняет поиск процедуры проверки расширений в этой библиотеке и вносит соответствующий патч.

Далее троян модифицирует установленные в браузере целевые расширения, получая необходимые модификации в виде JavaScript-кода с C2-сервера. Изменениям подвергаются:

• криптокошельки
  • Phantom
  • Slush
  • MetaMask
• менеджеры паролей
  • Bitwarden
  • LastPass

При этом модифицируются не оригиналы, а копии, которые троян предварительно помещает в каталог %TEMP%/ServiceWorkerCache. А чтобы браузер «подхватил» измененные расширения, Trojan.Scavenger.3 перехватывает управление функциями CreateFileW и GetFileAttributesExW, подменяя локальные пути к оригинальным файлам на пути к модификациям (Dr.Web детектирует их как Trojan.Scavenger.5).

Сами модификации представлены двумя вариантами:

• добавляется временная метка к Cookie;
• добавляется отправка пользовательских данных на C2-сервер.

Из криптокошельков Phantom, Slush и MetaMask злоумышленникам передаются приватные ключи и мнемонические фразы. От менеджера паролей Bitwarden им отправляется Cookie авторизации, а от LastPass — добавляемые жертвами пароли.

В свою очередь, Trojan.Scavenger.4 (profapi.dll) копируется в каталог с приложением криптокошелька Exodus. Троян запускается автоматически вместе с данной программой, также эксплуатируя в ней уязвимость DLL Search Order Hijacking (легитимная системная библиотека profapi.dll находится в директории %WINDIR%\System32, но из-за уязвимости приоритет загрузки при запуске кошелька отдается троянскому файлу).

После старта Trojan.Scavenger.4 перехватывает функцию v8::String::NewFromUtf8 из движка V8 для работы с JavaScript и WebAssambly. С ее помощью вредоносная программа отслеживает JSON, сформированные целевым приложением, и может получать различные пользовательские данные. В случае с программой Exodus троян ищет JSON, в котором присутствует ключ passphrase, после чего считывает его значение. В результате он получает пользовательскую мнемоническую фразу, которой можно расшифровать или сгенерировать приватный ключ от криптокошелька жертвы. Далее троян находит приватный ключ seed.seco от криптокошелька, считывает его и вместе с ранее полученной мнемонической фразой отправляет на C2-сервер.

Цепочка из двух загрузчиков

Данная цепочка в целом идентична первой, однако в распространяемых архивах с «патчами» и «читами» к играм вместо Trojan.Scavenger.1 находится модифицированная версия Trojan.Scavenger.2, представленная не в качестве DLL-файла, а в виде файла с расширением .ASI (фактически это динамическая библиотека с измененным расширением).

Архив также сопровождается инструкциями по установке:

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

После того как пользователь копирует файл в указанную директорию, тот будет автоматически запускаться при старте целевой игры, которая будет воспринимать его как свой плагин. С этого момента цепочка заражения повторяет шаги из первого варианта.

Особенности семейства

Большинство троянов семейства имеет ряд общих признаков. Одним из них является стандартная процедура проверки окружения на предмет работы в виртуальной среде или в режиме отладки. Если трояны обнаруживают признаки искусственной среды, они завершают работу.

Другой характерный признак семейства — единый алгоритм общения с управляющим сервером. Для связи с ним трояны проходят этап создания ключа и проверки шифрования. Он состоит из отправки двух запросов. Первый необходим для получения части ключа, который используется для шифрования некоторых параметров и данных в определенных запросах. Второй выполняется с целью проверки ключа и содержит определенные параметры, такие как случайным образом сгенерированная строка, текущее время и зашифрованное значение времени. На него C2-сервер отвечает полученной ранее строкой. Все последующие запросы содержат параметры времени, и при их отсутствии сервер отказывается выполнять соединение.

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.Scavenger.1

Подробнее о Trojan.Scavenger.2

Подробнее о Trojan.Scavenger.3

Подробнее о Trojan.Scavenger.4

Подробнее о Trojan.Scavenger.5

Заключение

Мы уведомили разработчиков, в чьем ПО эксплуатировались выявленные бреши в безопасности, однако они сочли уязвимости типа DLL Search Order Hijacking не требующими исправления. Но внедренная в антивирусные продукты Dr.Web защита от атак данного типа успешно противодействовала эксплуатации уязвимостей в затронутых браузерах еще до того, как мы узнали о семействе вредоносных программ Trojan.Scavenger, поэтому нашим пользователям эти трояны не угрожали. А в рамках проведенного исследования под эту защиту было также добавлено и приложение криптокошелька Exodus.