Gamer, preparati: tuffatori distribuiscono trojan Windows per il furto di criptovalute e password, camuffati da cheat e mod

22 luglio 2025

Il laboratorio dei virus Doctor Web ha individuato una famiglia di programmi malevoli, denominata Trojan.Scavenger, con l'ausilio dei quali i malintenzionati rubano i dati riservati di portafogli crypto e gestioni di password agli utenti del SO Windows. All'infezione dei computer partecipano più trojan della famiglia, per il loro avvio vengono utilizzate applicazioni legittime, tra l'altro, in esse vengono sfruttate le vulnerabilità di classe DLL Search Order Hijacking.

Introduzione

Nel 2024 l'azienda Doctor Web investigava un incidente di sicurezza informatica, legato a un tentativo di condurre attacco mirato a un'impresa russa. Lo schema dell'attacco includeva l'impiego di un software malevolo che, per infettare il sistema target, sfruttava la vulnerabilità all'intercettazione dell'ordine di ricerca di DLL (DLL Search Order Hijacking) in un popolare browser web. Le applicazioni Windows all'avvio cercano le librerie necessarie per il funzionamento in varie archiviazioni di dati e in uno specifico ordine. Per "ingannare" i programmi, i malintenzionati posizionano i file DLL malevoli nei percorsi dove la ricerca verrà eseguita prima di tutto — ad esempio, nella directory di installazione del software target. Inoltre, ai file trojan vengono dati i nomi di librerie legittime che sono collocate in directory con una minore priorità di ricerca. Come risultato, i programmi vulnerabili caricano all'avvio proprio i DLL malevoli per primi. Questi ultimi funzionano come loro parte integrante e ricevono gli stessi permessi.

A seguito dell'incidente in questione, i nostri specialisti hanno introdotto nei prodotti antivirus Dr.Web una funzionalità che consente di monitorare e prevenire i tentativi di sfruttamento delle vulnerabilità all'intercettazione dell'ordine di ricerca di DLL. Studiano la telemetria di questa funzione, gli analisti dei virus Doctor Web hanno rilevato casi di caricamento di malware precedentemente sconosciuti in più browser dei nostri clienti. Studiando questi casi, abbiamo potuto scoprire una nuova campagna di hacking, della quale parleremo in questo articolo.

L'infezione dei computer dai programmi malevoli Trojan.Scavenger avviene a più stadi e inizia con trojan downloader che arrivano sui sistemi target in vari modi. I nostri specialisti hanno individuato due catene di questa campagna con un numero diverso di componenti trojan coinvolti.

Catena di tre downloader

In questa catena di infezione, il componente di partenza è il programma malevolo Trojan.Scavenger.1, che è una libreria dinamica (DLL). Può essere distribuito sia come parte di giochi pirata, sia sotto l'apparenza di varie patch di gioco, cheat e mod attraverso torrent e siti dedicati a tematiche di gioco. Di seguito considereremo un esempio in cui i truffatori spacciano il trojan per una patch.

Trojan.Scavenger.1 viene distribuito in un archivio ZIP insieme alle istruzioni per l'installazione. Nelle istruzioni i malintenzionati incoraggiano la potenziale vittima a collocare la "patch" nella directory con il gioco Oblivion Remastered — presumibilmente per migliorarne le prestazioni:

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Il nome del file malevolo è stato scelto dagli attaccanti non a caso: nel SO Windows il file legittimo con il nome umpdc.dll è posizionato nella directory di sistema %WINDIR%\System32. Fa parte di un'API grafica utilizzata da vari programmi, tra cui i giochi. Se nella versione del gioco installata sul computer della vittima è presente la vulnerabilità non patchata, il file trojan copiato verrà automaticamente avviato insieme al gioco. Va notato che la versione del gioco Oblivion Remastered attuale al momento dell'indagine elaborava correttamente l'ordine di ricerca della libreria umpdc.dll, pertanto, nell'esempio considerato, Trojan.Scavenger.1 non poteva avviarsi automaticamente con essa e continuare la catena di infezione.

In caso di avvio riuscito, il trojan scarica da un server remoto e lancia la fase successiva — il downloader Trojan.Scavenger.2 (tmp6FC15.dll). A sua volta, esso scarica e installa sul sistema altri moduli della famiglia — Trojan.Scavenger.3 e Trojan.Scavenger.4.

Trojan.Scavenger.3 è una libreria dinamica version.dll, che viene copiata nella directory di uno dei browser target costruiti su base del motore Chromium. Essa ha lo stesso nome di una delle librerie di sistema nella directory %WINDIR%\System32. I browser vulnerabili all'intercettazione dell'ordine di ricerca di DLL non controllano da quale percorso viene caricata una libreria con quel nome. E in quanto il file trojan si trova nella loro directory, esso ha la priorità sulla libreria di sistema legittima e viene caricato per primo. I nostri analisti dei virus hanno registrato i tentativi di sfruttamento di questa vulnerabilità nei browser Google Chrome, Microsoft Edge, Yandex Browser e Opera.

Dopo l'avvio, Trojan.Scavenger.3 disattiva i meccanismi protettivi del browser attaccato — ad esempio, l'avvio della sua sandbox, — di conseguenza, in esso scompare l'isolamento del codice JS eseguito. Oltre a ciò, il trojan disattiva il controllo delle estensioni nel browser. Per fare questo, individua la corrispondente libreria di Chromium in base alla presenza in essa della funzione esportata CrashForExceptionInNonABICompliantCodeRange. Cerca quindi la procedura di controllo delle estensioni in questa libreria e apporta la relativa patch.

Quindi il trojan modifica le estensioni target installate nel browser, ottenendo le varianti di estensioni richieste sotto forma di codice JavaScript dal server C2. Vengono modificati:

• i portafogli crypto
  • Phantom
  • Slush
  • MetaMask
• le gestioni di password
  • Bitwarden
  • LastPass

Vengono modificati non gli originali, ma le copie, che il trojan posiziona preliminarmente nella directory %TEMP%/ServiceWorkerCache. E affinché il browser "afferri" le estensioni alterate, Trojan.Scavenger.3 intercetta la gestione delle funzioni CreateFileW e GetFileAttributesExW, sostituendo i percorsi locali ai file originali con i percorsi alle modificazioni (Dr.Web le rileva come Trojan.Scavenger.5).

Le modificazioni stesse sono rappresentate da due varianti:

• viene aggiunto un timestamp al Cookie;
• viene aggiunto l'invio dei dati utente al server C2.

Dai portafogli crypto Phantom, Slush e MetaMask vengono trasmesse ai malintenzionati le chiavi private e le frasi mnemoniche. Dalla gestione di password Bitwarden viene inviato a loro il Cookie di autorizzazione, e da LastPass le password aggiunte dalle vittime.

A sua volta, Trojan.Scavenger.4 (profapi.dll) viene copiato nella directory con l'applicazione di portafoglio crypto Exodus. Il trojan si avvia automaticamente insieme a questo programma, anche sfruttando in esso la vulnerabilità DLL Search Order Hijacking (la libreria di sistema legittima profapi.dll si trova nella directory %WINDIR%\System32, ma a causa della vulnerabilità, la priorità di caricamento all'avvio del portafoglio crypto viene data al file trojan).

Dopo l'avvio, Trojan.Scavenger.4 intercetta la funzione v8::String::NewFromUtf8 dal motore V8 per l'operazione con JavaScript e WebAssambly. Con il suo ausilio, il programma malevolo monitora i JSON generati dall'applicazione attaccata e può ottenere vari dati utente. Nel caso del programma Exodus, il trojan cerca un JSON in cui è presente l'opzione passphrase, dopodiché ne legge il valore. Come risultato, ottiene la frase mnemonica utente, con cui è possibile decifrare o generare la chiave privata del portafoglio crypto della vittima. Quindi il trojan trova la chiave privata seed.seco del portafoglio crypto, la legge e, insieme alla frase mnemonica precedentemente ottenuta, la invia al server C2.

Catena di due downloader

Questa catena, in generale, è identica alla prima, però negli archivi con "patch" e "cheat" per giochi distribuiti invece di Trojan.Scavenger.1 si trova una versione modificata di Trojan.Scavenger.2, presentata non come un file DLL, ma come un file con l'estensione .ASI (in effetti, questa è una libreria dinamica con un'estensione modificata).

L'archivio è anche accompagnato dalle istruzioni per l'installazione:

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

Dopo che l'utente copia il file nella directory specificata, esso verrà automaticamente eseguito all'avvio del gioco attaccato, il quale lo percepirà come un suo plugin. Da questo momento, la catena di infezione ripete i passaggi dalla prima variante.

Caratteristiche della famiglia

La maggior parte dei trojan della famiglia ha una serie di caratteristiche comuni. Una di queste è la procedura standard per controllare l'ambiente per rilevare il funzionamento in ambiente virtuale o in modalità di debug. Se i trojan trovano i segni di ambiente artificiale, terminano il proprio funzionamento.

Un'altra caratteristica distintiva della famiglia è un uguale algoritmo di comunicazione con il server di controllo. Per comunicare con esso, i trojan completano la fase di creazione della chiave e di verifica della crittografia. Consiste nell'invio di due richieste. La prima è necessaria per ottenere parte della chiave che viene utilizzata per crittografare alcuni parametri e dati in determinate richieste. La seconda viene effettuata al fine di verificare la chiave e contiene determinati parametri, come una stringa generata casualmente, il tempo corrente e il valore temporale crittografato. A questa richiesta il server C2 risponde con la stringa precedentemente ricevuta. Tutte le richieste successive contengono i parametri di tempo, e in assenza di essi il server rifiuta di eseguire la connessione.

Più informazioni su Trojan.Scavenger.1

Più informazioni su Trojan.Scavenger.2

Più informazioni su Trojan.Scavenger.3

Più informazioni su Trojan.Scavenger.4

Più informazioni su Trojan.Scavenger.5

Conclusione

Abbiamo avvisato gli sviluppatori nei cui software venivano sfruttati i difetti di sicurezza rilevati, tuttavia, loro hanno considerato le vulnerabilità di tipo DLL Search Order Hijacking non richiedenti la risoluzione. Comunque, la protezione da questo tipo di attacchi incorporata nei prodotti antivirus Dr.Web contrastava con successo lo sfruttamento delle vulnerabilità nei browser interessati anche prima di quello che abbiamo scoperto la famiglia di programmi malevoli Trojan.Scavenger, pertanto, questi trojan non rappresentavano minaccia per i nostri utenti. E nell'ambito dell'indagine effettuata, sotto questa protezione è stata aggiunta anche l'applicazione di portafoglio crypto Exodus.