前言
Doctor Web 病毒實驗室偵測到 Trojan.Scavenger 惡意程式家族。駭客利用多個木馬串聯,透過 DLL 搜尋順序劫持漏洞執行惡意負載並外傳資料。
技術背景:DLL 搜尋順序劫持
2024 年,Doctor Web 調查了一起針對俄羅斯企業的攻擊。Windows 應用程式啟動時會按特定順序搜尋所需的 DLL 庫。駭客將惡意 DLL 放在搜尋優先權較高的目錄(如程式安裝目錄),並取名為與系統檔案相同的名稱(如 umpdc.dll 或 version.dll),藉此獲取與原程式相同的權限。
三層加載器鏈 (Chain of three loaders)
- 第一階段 (Trojan.Scavenger.1):透過遊戲網站或 Torrent 散佈,偽裝成遊戲補丁。例如誘導使用者將
umpdc.dll 放入遊戲目錄以「提升效能」。
- 第二階段 (Trojan.Scavenger.2):啟動後從遠端伺服器下載二型木馬,進而安裝三型與四型模組。
- 第三階段 (Trojan.Scavenger.3):針對 Chromium 系瀏覽器。它會關閉瀏覽器的沙盒與擴展驗證,並在
%TEMP% 目錄修改 Phantom、MetaMask、Bitwarden、LastPass 等插件的程式碼,藉此竊取用戶的助記詞、Cookie 與密碼。
- 第四階段 (Trojan.Scavenger.4):針對 Exodus 加密錢包。它會攔截 V8 引擎的函數,讀取錢包的助記詞與私鑰 (seed.seco),並傳回 C2 伺服器。
兩層加載器鏈 (Chain of two loaders)
此路徑與前述類似,但誘餌是偽裝成遊戲外掛(如 GTA 的 Enhanced Native Trainer),檔案後綴改為 .ASI(本質仍是 DLL),使用者啟動遊戲時會自動執行該插件。
家族共同特徵
- 環境偵測:會檢查是否在虛擬機中運行,若是則自我終止。
- 加密通訊:與 C2 伺服器通訊時有嚴格的加密金鑰驗證程序,且包含時間戳記參數,若格式不符伺服器會拒絕連線。
結論
Doctor Web 已通知相關軟體開發商,但部分開發者認為 DLL 劫持漏洞不需修復。目前 Dr.Web 防毒產品 已加入對此類攻擊的防禦機制,能在病毒執行前成功攔截