‫ تروجان Scavenger از طریق نقص‌های مرورگر، کیف پول‌های ارز دیجیتال را هدف قرار می‌دهد

تروجان جدید Scavenger با استفاده از مدهای بازی جعلی و نقص‌های مرورگر، داده‌های کیف پول ارز دیجیتال را می‌دزدد و MetaMask، Exodus، Bitwarden و سایر برنامه‌های محبوب را هدف قرار می‌دهد.

جدیدترین حملات سایبری از سوی یک کمپین بدافزاری می‌باشد که شامل خانواده جدیدی از تروجان‌ها به نام Trojan.Scavenger (تروجان Scavenger) است. این‌ها فایل‌های مخرب معمولی نیستند که به سادگی در پس‌زمینه اجرا شوند و داده‌ها را سرقت کنند. آن‌ها با دقت ساختار یافته‌اند تا از آسیب‌پذیری در نحوه بارگذاری اجزای خاص ویندوز سوءاستفاده کنند. مهاجمان از این برای آلوده کردن سیستم‌های هدف و استخراج اطلاعات حساس، به ویژه از کیف پول‌های ارز دیجیتال و مدیران رمز عبور استفاده کردند.

همه چیز از زمانی شروع شد که Doctor Web حمله‌ای هدفمند به یک شرکت روسی را بررسی کرد. در طول تحقیقات، تیم آن‌ها متوجه شد که مهاجمان از سرقت ترتیب جستجوی DLL سوءاستفاده می‌کنند.

این روش به فایل‌های مخرب اجازه می‌دهد تا با جعل اجزای مشروع، وارد نرم‌افزار شوند. ترفند این است که یک DLL جعلی را در همان پوشه برنامه هدف قرار می‌دهند و به آن اولویت بیشتری نسبت به نسخه سیستم واقعی می‌دهند. پس از اجرا، فایل جعلی طوری اجرا می‌شود که انگار بخشی از برنامه اصلی است و به آن اجازه دسترسی به هر چیزی را که برنامه می‌تواند به آن دسترسی داشته باشد، می‌دهد.

طبق گزارش دکتر وب، پس از افزودن محافظت در برابر این تکنیک به مجموعه آنتی‌ویروس خود، این شرکت شروع به جمع‌آوری داده‌های تله‌متری کرد. در آن زمان بود که آنها متوجه شدند برخی از کاربران از طریق مرورگرهای خود فایل‌های مخرب ناشناخته دریافت می‌کنند.

این امر محققان را به کشف کمپین Trojan.Scavenger سوق داد. بعداً مشخص شد که مهاجمان این بدافزار را در چندین مرحله توزیع می‌کردند و از روش‌های مختلف طعمه‌گذاری مانند پچ‌های بازی و تقلب‌ها برای فریب قربانیان به اجرای آن استفاده می‌کردند.

یکی از مسیرهای آلودگی از یک زنجیره بارگذاری سه مرحله‌ای استفاده می‌کرد. اولین جزء، Trojan.Scavenger1، به عنوان یک پچ عملکرد برای بازی Oblivion Remastered پنهان شده بود. به قربانیان دستور داده شد که DLL جعلی را در پوشه بازی قرار دهند.

نام فایل عمداً طوری انتخاب شده بود که با یک DLL قانونی ویندوز مطابقت داشته باشد تا به جای DLL واقعی بارگذاری شود. اما در این نسخه خاص از بازی، این سوءاستفاده شکست خورد زیرا توسعه‌دهندگان فرآیند بارگذاری را به درستی پیکربندی کرده بودند. با این حال، همین ترفند می‌تواند در برنامه‌های دیگر نیز موفقیت‌آمیز باشد.

محققان همچنین خاطرنشان کردند که وقتی تروجان موفق به اجرا می‌شود، مرحله بعدی، Trojan.Scavenger.2، را دانلود می‌کند که سپس ماژول‌های اضافی، Trojan.Scavenger.3 و Trojan.Scavenger.4 را نیز به خود جذب می‌کند. یکی از این ماژول‌ها، Trojan.Scavenger.3، وانمود می‌کند که یک کتابخانه سیستمی است و در پوشه مرورگرهای مبتنی بر کرومیوم مانند کروم، اج، اپرا و یاندکس قرار می‌گیرد. به دلیل نقص بارگیری، مرورگر در نهایت فایل مخرب را به جای نسخه سیستمی واقعی اجرا می‌کند.

این نسخه از تروجان، ویژگی‌های امنیتی داخلی مرورگر را دستکاری می‌کند. این نسخه، جعبه شنی را غیرفعال می‌کند و بررسی تأیید افزونه‌های مرورگر را مسدود می‌کند. سپس کپی‌هایی از افزونه‌های محبوب، از جمله موارد زیر را ویرایش می‌کند:

نسخه‌های اصلی دست نخورده باقی می‌مانند، اما مرورگر فریب می‌خورد تا از نسخه‌های دستکاری شده استفاده کند. این نسخه‌های تغییر یافته به گونه‌ای طراحی شده‌اند که به طور مخفیانه داده‌ها، مانند عبارات یادآوری و رمزهای عبور ذخیره شده، را به سرور مهاجم ارسال کنند.

در همین حال، Trojan.Scavenger.4 نیز به طور مشابه کیف پول ارز دیجیتال Exodus را هدف قرار می‌دهد. این تروجان با شروع برنامه و با استفاده از همان روش ربودن DLL بارگیری می‌شود. پس از ورود، به موتور برنامه متصل می‌شود تا داده‌های کلیدی مانند عبارت یادآور و فایلی که کلید خصوصی را ذخیره می‌کند، اسکن کند. سپس این اطلاعات برای مهاجم ارسال می‌شود.

در نسخه دیگری از این کمپین، مهاجمان از تروجان اول صرف نظر می‌کنند و مستقیماً با یک Trojan.Scavenger.2 اصلاح‌شده شروع می‌کنند. این تروجان از فایلی با پسوند .ASI استفاده می‌کند که اغلب با مادهای بازی یا افزونه‌ها مرتبط است. به عنوان مثال، ممکن است به کاربران گفته شود که فایلی به نام "Enhanced Native Trainer.asi" را در پوشه بازی GTA خود نصب کنند. بازی آن را به عنوان یک افزونه تشخیص داده و به طور خودکار اجرا می‌کند و به زنجیره آلودگی اجازه می‌دهد از آنجا ادامه یابد.

در تمام نسخه‌های این بدافزار، تروجان‌ها برخی الگوهای رفتاری کلیدی را به اشتراک می‌گذارند. آنها بررسی می‌کنند که آیا در یک ماشین مجازی یا محیط اشکال‌زدایی راه‌اندازی می‌شوند یا خیر و در صورت شناسایی، کار خود را متوقف می‌کنند. این یک روش رایج برای جلوگیری از شناسایی در طول تحقیقات امنیتی است.

یکی دیگر از ویژگی‌های مشترک، نحوه‌ی ارتباط آنها با سرور کنترلشان است. آنها از یک روش دست‌دهی دو مرحله‌ای برای راه‌اندازی یک کانال رمزگذاری شده استفاده می‌کنند، ابتدا بخشی از کلید رمزگذاری را درخواست می‌کنند، سپس با ارسال مهرهای زمانی رمزگذاری شده، اتصال را تأیید می‌کنند. هر درخواستی که بدون این تنظیم ارسال شود، توسط سرور نادیده گرفته می‌شود.