Uma nova campanha de Trojan Scavenger no Windows está ativa, visando computadores com o sistema operacional da Microsoft. A ameaça foi identificada pela empresa de segurança Doctor Web, que detalhou como as variantes desse malware são usadas para explorar vulnerabilidades e extrair dados sensíveis dos usuários.
O ataque cibernético, descoberto durante uma investigação focada em uma empresa russa, emprega uma técnica conhecida como DLL Search Order Hijacking. Essa tática permite que os criminosos executem códigos maliciosos e capturem informações confidenciais, comprometendo a segurança dos sistemas. A invasão foi notada após usuários identificarem arquivos suspeitos em seus navegadores, indicando uma brecha na segurança.
O método DLL Search Order Hijacking envolve a inserção de arquivos maliciosos, disfarçados como componentes legítimos, dentro de aplicações. O Windows prioriza o carregamento de arquivos DLL no mesmo diretório do programa, facilitando a execução de arquivos falsos no lugar dos originais. Uma vez ativado, o aplicativo infectado concede ao malware as mesmas permissões do software legítimo.
Nessa campanha, os cibercriminosos distribuíram o Trojan Scavenger em várias etapas. Inicialmente, o Trojan.Scavenger.1 se disfarça como um patch de desempenho para o jogo Oblivion Remastered. As vítimas são induzidas a substituir o arquivo DLL original do jogo pela versão infectada, comprometendo a segurança do sistema.
O arquivo malicioso utiliza o mesmo nome de uma DLL nativa do Windows, garantindo sua execução em vez do arquivo legítimo. Ao ser ativado, o Trojan.Scavenger.1 baixa e instala outros componentes complementares: Trojan.Scavenger.2, Trojan.Scavenger.3 e Trojan.Scavenger.4. Essas variantes se camuflam como arquivos legítimos em navegadores baseados no Chromium, como Chrome, Edge, Opera e Yandex.
Uma vez infiltrados nos navegadores, os trojans coletam dados confidenciais de carteiras de criptomoedas e gerenciadores de senhas. Eles modificam configurações de segurança, desativam proteções e examinam as extensões instaladas. Entre os alvos estão ferramentas como Slush, Phantom, LastPass, MetaMask, Bitwarden e, no caso do Trojan.Scavenger.4, a carteira Exodus.
A Doctor Web notificou as empresas com softwares vulneráveis, mas muitas não implementaram as correções necessárias. Usuários devem redobrar a atenção ao baixar arquivos, especialmente patches, mods ou ferramentas de desempenho para jogos, para evitar infecções.
A persistência do risco demonstra a importância de manter a vigilância constante contra ciberataques. A complexidade das técnicas empregadas pelo Trojan Scavenger no Windows exige que os usuários adotem práticas de segurança rigorosas e atualizem regularmente seus sistemas.
Via TecMundo
