В современном мире кибербезопасность становится одной из главных угроз для пользователей по всему миру, особенно учитывая растущую популярность онлайн-игр и увеличивающуюся зависимость от цифровых сервисов. Одной из наиболее коварных и опасных вредоносных программ последних лет является семействo Trojan.Scavenger, которое маскируется под игровые читы, моды и различные неофициальные патчи. Это создает серьезный риск для миллионов пользователей, особенно тех, кто пытается улучшить игровой опыт с помощью стороннего ПО и не подозревает о возможных последствиях. Специалисты компании «Доктор Веб» подробно изучили и описали механизмы работы Trojan.
Scavenger и способы защиты от него. В статье расскажем, чем опасен этот троян, каким образом он распространяется и как обезопасить себя от потери личных данных и кражи криптовалюты. Trojan.Scavenger является вредоносным программным обеспечением, которое целенаправленно атакует пользователей операционной системы Windows. Особенность его в том, что он распространяется под видом игровых читов, модов и патчей для популярных игр, таких как Oblivion Remastered.
Пользователь, желая повысить производительность своей игры или получить игровые преимущества, скачивает ZIP-архив с вредоносным ПО и инструкцией, которая предлагает скопировать «патч» в каталог игры. При этом вредоносный файл именуется как umpdc.dll, что создает иллюзию легитимности, так как в системе Windows существует одноименный системный файл, находящийся в каталоге %WINDIR%\System32. Trojan.Scavenger использует уязвимость, известную как DLL Search Order Hijacking, или перехват порядка поиска DLL.
Этот механизм обусловлен тем, что Windows-приложения при запуске ищут необходимые им DLL-библиотеки в определенных каталогах по заданному приоритету. Злоумышленники помещают вредоносный файл в директорию, которая проверяется раньше, чем оригинальные системные файлы. В итоге именно троян загружается первым и начинает выполнять свои вредоносные функции. Ранее в 2024 году исследователи зафиксировали подобную атаку на российского оператора железнодорожных перевозок с использованием эксплойтов DLL Search Order Hijacking, связанных с уязвимостью в браузере Яндекс. При анализе телеметрии антивирусных решений Dr.
Web была обнаружена новая модификация Trojan.Scavenger, которая внедряется в популярные браузеры на базе Chromium: Google Chrome, Microsoft Edge, Яндекс Браузер и Opera. После заражения троянский компонент, маскирующийся под version.dll, копируется в директорию одного из браузеров и загружается автоматически. Он отключает защитные механизмы браузера, включая песочницу, что позволяет вредоносному коду выполнять свои действия без ограничений.
Главной целью Trojan.Scavenger является кража данных из криптовалютных кошельков и менеджеров паролей. Вредонос воздействует на расширения криптокошельков Phantom, Slush и MetaMask, а также на менеджеры паролей Bitwarden и LastPass. Интересным моментом является то, что троян изменяет не оригиналы расширений, а копии, которые расположены в папке %TEMP%/ServiceWorkerCache. Путем перехвата функций CreateFileW и GetFileAttributesExW троян подменяет пути к оригинальным файлам на пути к измененным копиям с вредоносным кодом.
Эти модификации добавляют временную метку к куки или отправляют украденные данные на управляющий сервер злоумышленников. В результате из криптокошельков извлекаются приватные ключи и seed-фразы, которые позволяют полностью контролировать счета жертв и совершать несанкционированные транзакции. Из менеджеров паролей троян похищает авторизационные cookie и пароли, что расширяет возможности для дальнейших атак. Еще одним модулем семейства является Trojan.Scavenger.
4 (profapi.dll), который нацелен на программу криптокошелька Exodus. В данном случае троян также эксплуатирует уязвимость DLL Search Order Hijacking для запуска с программой кошелька. После загрузки вредонос перехватывает функцию v8::String::NewFromUtf8 в движке JavaScript V8, используемом в приложении Exodus. Это позволяет отслеживать JSON-объекты, содержащие ключ passphrase (мнемоническая фраза), а также приватный ключ seed.
seco. Полученная информация отправляется на сервер злоумышленников, что дает полный доступ к управлению криптовалютой жертвы. Помимо технических аспектов, Trojan.Scavenger обладает умной защитой от анализа. Перед выполнением вредоносного кода он проверяет наличие виртуальной среды или режима отладки, и если такие условия обнаруживаются, троян завершает работу, чтобы избежать детектирования исследователями безопасности.
Для связи с управляющим сервером используется сложный алгоритм сгенерирования и проверки ключей шифрования. Передаваемые параметры содержат дополнительно случайные строки и метки времени, что усложняет перехват и расшифровку трафика. Пользователи, желающие скачать бесплатные читы и моды для игр, должны понимать высокие риски, связанные с такими файлами. Вместо желаемых улучшений игрового опыта они могут получить заражение системы, потерю учетных данных, а зачастую и значительные финансовые потери из-за похищения криптовалюты. Для защиты от Trojan.
Scavenger и подобных угроз специалисты рекомендуют использовать только официальные магазины и платформы для загрузки игрового контента. Не стоит скачивать и запускать непроверенные архивы с инструкциями из сомнительных источников, особенно если они содержат библиотеки DLL. Обязательной практикой является установка надежных антивирусных решений, которые обновляются ежедневно и способны распознавать атаки с использованием DLL Search Order Hijacking. Современные продукты, например Dr.Web, уже интегрируют функции мониторинга и предотвращения таких эксплойтов, минимизируя риск заражения.
Кроме того, важно регулярно контролировать состояние своих криптовалютных кошельков и менеджеров паролей, не допускать автоматического запуска неизвестных расширений и использовать двухфакторную аутентификацию, где это возможно. Подводя итог, Trojan.Scavenger — это наглядный пример того, как современные злоумышленники используют человеческое любопытство и стремление к удобствам в играх для проникновения в систему и кражи ценных данных. Маскируясь под популярные игровые моды и читы, троян распространяется через торренты и игровые сайты, эксплуатирует уязвимости в порядке поиска DLL и внедряется в популярные браузеры и криптокошельки. Современная цифровая безопасность требует бдительности, использования надежных антивирусных систем и осторожности при работе с сторонним ПО.
Пользователи должны помнить, что скачивание непроверенных файлов из интернета всегда несет потенциальные риски и может привести к серьезным последствиям. Только осознанный и информированный подход позволит минимизировать угрозы и сохранить безопасность цифровых активов в игровых и финансовых приложениях.
