Doctor Web’in son raporunda, yeni bir Truva atı ailesini içeren bir kötü amaçlı yazılım kampanyası, Trojan.Scavenger (Çöpçü Truva atı). Bunlar, arka planda çalışan ve verileri çalan tipik kötü niyetli dosyalarınız değildir; Windows’un belirli bileşenleri nasıl yüklediğinde bir güvenlik açığını kötüye kullanmak için dikkatlice yapılandırılmıştır. Saldırganlar bunu hedeflenen sistemleri enfekte etmek ve özellikle kripto cüzdanlarından ve şifre yöneticilerinden hassas bilgileri çıkarmak için kullandılar.
Her şey Doctor Web, bir Rus girişimine hedeflenen bir saldırıya baktığında başladı. Soruşturma sırasında ekibi, saldırganların DLL arama siparişinin kaçırılmasından yararlandığını fark etti.
Bu yöntem, kötü amaçlı dosyaların meşru bileşenler olarak taklit ederek yazılıma girmesini sağlar. İşin püf noktası, gerçek sistem sürümüne göre öncelik vererek hedef uygulamayla aynı klasöre sahte bir DLL yerleştirmektir. Başlatıldıktan sonra, sahte dosya orijinal uygulamanın bir parçasıymış gibi çalışır ve uygulamanın ulaşabileceği her şeye erişir.
Doctor Web’in raporuna göre, bu tekniğe karşı antivirüs süitlerine koruma ekledikten sonra şirket telemetri verilerini toplamaya başladı. İşte o zaman bazı kullanıcılara tarayıcılarından bilinmeyen kötü amaçlı dosyalar sunulduğunu fark ettiler.
Bu, araştırmacıları Trojan.scavenger kampanyasının keşfine götürdü. Daha sonra saldırganların bu kötü amaçlı yazılımları birden fazla aşamada dağıttığı ve kurbanları çalıştırmaya teşvik etmek için oyun yamaları ve hileler gibi çeşitli yem yöntemlerini kullandıkları anlaşıldı.
Bir enfeksiyon yolunda üç aşamalı bir yükleyici zinciri kullanıldı. İlk bileşen, Trojan.Scavenger1oyun Oblivion Remastered için bir performans yaması olarak gizlendi. Kurbanlara sahte DLL’yi oyunun klasörüne bırakmaları talimatı verildi.
Dosya adı kasıtlı olarak meşru bir Windows DLL ile eşleşecek şekilde seçildi, böylece gerçek olan yerine yüklenecekti. Ancak bu özel oyun versiyonunda, geliştiriciler yükleme işlemini düzgün bir şekilde yapılandırdıkları için istismar başarısız oldu. Yine de, aynı hile diğer programlarda başarılı olabilir.
Araştırmacılar ayrıca, Truva atı çalıştırmayı başardığında, bir sonraki aşamayı indirdiğini belirtti, Trojan.Scavenger.2, daha sonra ek modüller çeker, Trojan.Scavenger.3 Ve Trojan.Scavenger.4. Bunlardan biri, Trojan.Scavenger.3bir sistem kitaplığı gibi davranır ve Chrome, Edge, Opera ve Yandex gibi krom bazlı tarayıcıların klasörüne yerleştirilir. Yükleme kusuru nedeniyle, tarayıcı gerçek sistem sürümü yerine kötü amaçlı dosyayı çalıştırır.
Trojan’ın bu sürümü tarayıcının dahili güvenlik özelliklerine sahip tampar. Sandbox’ı devre dışı bırakır ve tarayıcı uzantılarını doğrulayan kontrolü engeller. Ardından, aşağıdakiler de dahil olmak üzere popüler uzantıların kopyalarını düzenler:
- Çırpma
- Fantom
- LastPass
- Metamk
- Bitirmek
Orijinallere dokunulmadan kalır, ancak tarayıcı kurcalanmış sürümleri kullanma için kandırılır. Bu değiştirilmiş sürümler, anımsatıcı ifadeler ve depolanan parolalar gibi verileri saldırganın sunucusuna sessizce gönderecek şekilde tasarlanmıştır.
Bu sırada, Trojan.Scavenger.4 Benzer şekilde Exodus kripto cüzdanını hedefler. Uygulama başladığında, aynı DLL kaçırma yöntemini kullanarak yüklenir. İçeri girdikten sonra, anımsatıcı cümle ve özel anahtarı saklayan dosyayı taramak için uygulamanın motoruna dokunur. Bu bilgi daha sonra saldırgana gönderilir.
Kampanyanın başka bir versiyonunda, saldırganlar ilk Truva atını atlar ve doğrudan değiştirilmiş bir Trojan.Scavenger.2. Bu, .ASI extensiongenellikle oyun modları veya eklentileri ile ilişkilidir. Örneğin, kullanıcılara “” adlı bir dosya yüklemeleri söylenebilir.Enhanced Native Trainer.asi”GTA oyun klasörlerine. Oyun bir eklenti olarak tanır ve otomatik olarak çalıştırır ve enfeksiyon zincirinin oradan devam etmesine izin verir.
Bu kötü amaçlı yazılımların tüm sürümlerinde, Truva atları bazı temel davranış kalıplarını paylaşır. Sanal bir makinede veya hata ayıklama ortamında başlatılıp başlatılmadıklarını kontrol ederler ve birini tespit ederse çalışmayı bırakırlar. Bu, güvenlik araştırması sırasında tespitten kaçınmak için kullanılan yaygın bir yöntemdir.
Bir başka paylaşılan özellik de kontrol sunucularıyla nasıl iletişim kurduklarıdır. Şifrelenmiş bir kanal kurmak için iki aşamalı bir el sıkışma kullanırlar, önce şifreleme anahtarının bir kısmını ister, ardından şifreli zaman damgaları göndererek bağlantıyı doğrularlar. Bu kurulum olmadan gönderilen istekler sunucu tarafından yok sayılır.
Doctor Web, uygulamaları savunmasız olan yazılım geliştiricilerine ulaştı, ancak çoğu DLL kaçırma kusurunu düzeltmeyi reddetti. Bu nedenle, kullanıcılar dikkatli olmalı ve üçüncü taraf mağazalardan uygulama indirmekten kaçınmalı, korsan oyunları kullanmaktan kaçınmalı ve anti-virüs yazılımlarını güncel tutmaktan kaçınmalıdır.