Gamer, aufgepasst! Betrüger verbreiten Windows-Trojaner als Cheats und Mods, um Kryptowährungen und Passwörter zu stehlen
Bedrohungen in Echtzeit | Hot news | Alle News
22. Juli 2025
Einleitung
In 2024 hatte Doctor Web einen gezielten Angriff auf ein russisches Unternehmen erkannt und untersucht. Bei dem Cyberangriff wurde Malware verwendet, die die DLL Search Order Hijacking-Sicherheitslücke in einem gängigen Webbrowser ausnutzte, um das Zielsystem zu infizieren. Beim Start suchen Windows-Anwendungen in einer bestimmten Reihenfolge in bestimmten Verzeichnissen nach den für ihre Funktion notwendigen Bibliotheken. Um diese Anwendungen zu „täuschen“, speichern Cyberkriminelle bösartige DLL-Dateien in den Verzeichnissen, in denen die Suche zunächst durchgeführt wird, z.B. im Installationsverzeichnis der Zielsoftware. Die Trojaner-Dateien werden wie legitime Bibliotheken benannt, die sich in Verzeichnissen mit niedrigerer Suchpriorität befinden. Beim Start laden anfällige Anwendungen daher diese bösartigen DLL-Dateien zuerst. Dadurch funktionieren diese als Teil der harmlosen Anwendungen und erhalten entsprechende Berechtigungen.
Nach der Untersuchung des Vorfalls haben unsere Spezialisten ein neues Feature in den Dr.Web Antivirenprodukten implementiert. Dieses Feature ermöglicht es, Versuche der Ausnutzung der DLL Search Order Hijacking-Schwachstelle zu erkennen und zu verhindern. Mithilfe dieser Funktion haben die Virenanalysten von Doctor Web festgestellt, dass bisher unbekannte bösartige Programme in mehrere Browser unserer Kunden eingebettet wurden. Dank der Untersuchung dieser Vorfälle konnten wir eine neue Hacker-Kampagne erkennen, die wir in diesem Artikel näher beleuchten möchten.
Die Infektion von Computern mit den Trojanern Trojan.Scavenger erfolgt mehrstufig und beginnt mit Downloader-Trojanern, die auf verschiedenen Wegen in die Zielsysteme gelangen. Unsere Experten haben zwei Ketten dieser Kampagne festgestellt, bei denen unterschiedlich viele Trojaner-Komponenten verwendet wurden.
Kette aus drei Downloader-Trojanern
Die Startkomponente dieser Infektionskette ist Trojan.Scavenger.1. Bei diesem Programm handelt es sich um eine dynamische Bibliothek (DLL). Es wird in Raubkopien von Computerspielen, als Spiel-Patches und Cheats für Spiele sowie über Torrents und Gaming-Websites verbreitet. Im nachfolgend beschriebenen Beispiel wird der Trojaner als Patch ausgegeben.
Trojan.Scavenger.1 wird als ZIP-Archiv verbreitet. Die Archivdatei enthält unter anderem eine Installationsanleitung. Nutzer werden aufgefordert, den Patch im Verzeichnis mit dem Computerspiel „Oblivion Remastered“ zu speichern, um angeblich dessen Leistung zu verbessern.
Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performanceDer Name der bösartigen Datei ist kein Zufall: Im Windows-Systemverzeichnis %WINDIR%\System32 befindet sich eine legitime Datei mit dem Namen umpdc.dll. Diese Datei ist Teil einer Grafik-API, die von verschiedenen Programmen, einschließlich Computerspiele, verwendet wird. Wenn die auf dem Gerät des Nutzers installierte Version des Spiels eine Sicherheitslücke aufweist, wird die Trojaner-Datei automatisch mit dem Start des Spiels gestartet. Es ist zu erwähnen, dass die zum Zeitpunkt der Untersuchung aktuelle Version von „Oblivion Remastered“ Anfragen zur Suche nach der Bibliothek umpdc.dll korrekt verarbeitete. Daher konnte Trojan.Scavenger.1 im betrachteten Beispiel nicht automatisch mit dem Spiel gestartet werden, um die Infektionskette fortzusetzen.
Beim erfolgreichen Start lädt das Programm den Trojaner Trojan.Scavenger.2 (tmp6FC15.dll) vom Remote-Server herunter. Dieser lädt weitere Module (Trojan.Scavenger.3 und Trojan.Scavenger.4) herunter und installiert diese im System.
Bei Trojan.Scavenger.3 handelt es sich um eine dynamische Bibliothek – version.dll. Die Bibliothek wird in das Verzeichnis eines der auf der Chromium-Engine basierenden Zielbrowsers kopiert. Die Bibliothek trägt den gleichen Namen wie eine der Systembibliotheken im Verzeichnis %WINDIR%\System32. Browser, die für DLL Search Order Hijacking anfällig sind, prüfen nicht, woher eine Bibliothek mit diesem Namen geladen wird. Da sich die Trojaner-Datei im Verzeichnis mit dem Zielbrowser befindet, hat sie Vorrang vor der legitimen Systembibliothek und wird geladen. Unsere Virenanalysten haben Versuche festgestellt, diese Schwachstelle in den Browsern Google Chrome, Microsoft Edge, Yandex Browser und Opera auszunutzen.
Nach dem Start deaktiviert Trojan.Scavenger.3 die Schutzmechanismen des Zielbrowsers (z.B. die Sandbox des Browsers), was zum Verlust der Isolierung des ausgeführten JavaScript-Codes führt. Darüber hinaus deaktiviert der Trojaner die Überprüfung von Erweiterungen im Browser. Dazu identifiziert er die entsprechende Chromium-Bibliothek anhand der vorhandenen Exportfunktion CrashForExceptionInNonABICompliantCodeRange. Danach sucht der Trojaner nach einer Erweiterungsprüfprozedur in dieser Bibliothek und fügt den entsprechenden Patch ein.
Anschließend modifiziert der Trojaner die im Browser installierten Zielerweiterungen und erhält die erforderlichen Modifikationen als JavaScript-Code vom C2-Server. Geändert werden:
-
Krypto-Wallets
- Phantom
- Slush
- MetaMask
-
Passwort-Messenger
- Bitwarden
- LastPass
Modifiziert werden nicht nur Originale, sondern auch Kopien, die vom Trojaner im Verzeichnis %TEMP%/ServiceWorkerCacheabgelegt werden. Damit der Browser die geänderten Erweiterungen übernimmt, erlangt Trojan.Scavenger.3 die Kontrolle über CreateFileW und GetFileAttributesExW und ersetzt die lokalen Pfade zu den Originaldateien durch die Pfade zu den Modifikationen (Trojan.Scavenger.5 nach der Klassifikation von Dr.Web).
Es gibt zwei Varianten von Modifikationen:
- Dem Cookie wird ein Zeitstempel hinzugefügt.
- Benutzerdaten werden an den C2-Server gesendet.
Mithilfe dieser Trojaner werden private Schlüssel und mnemonische Phrasen von Nutzern der Krypto-Wallets Phantom, Slush und MetaMask an Cyberkriminelle übermittelt. Nutzern des Passwort-Messengers Bitwarden werden Autorisierungs-Cookies und Nutzern von LastPass Passwörter gestohlen.
Trojan.Scavenger.4 (profapi.dll) wird in das Verzeichnis mit der Krypto-Wallet-App Exodus kopiert. Der Trojaner wird beim Start der App automatisch ausgeführt und nutzt die Sicherheitslücke „DLL Search Order Hijacking“ aus. Die legitime Systembibliothek profapi.dll befindet sich im Verzeichnis %WINDIR%\System32, aber aufgrund der Sicherheitslücke hat die Trojaner-Datei beim Start der Krypto-Wallet-App Vorrang.
Nach dem Start fängt Trojan.Scavenger.4 die Funktion v8::String::NewFromUtf8 von der V8-Engine ab, um mit JavaScript und WebAssembly zu arbeiten. Mithilfe dieser Funktion sucht das bösartige Programm nach von der Zielanwendung generierten JSON-Dateien, um verschiedene Benutzerdaten zu stehlen. Bei Exodus sucht der Trojaner nach einer JSON-Datei, die den Schlüssel passphrase enthält und liest dessen Wert. Auf diese Weise erhält der Trojaner die mnemonische Phrase des Nutzers, die es ermöglicht, den privaten Schlüssel für die Krypto-Wallet des Opfers zu entschlüsseln oder zu generieren. Dann sucht der Trojaner nach dem privaten Schlüssel seed.seco für die Krypto-Wallet und leitet diesen zusammen mit der gefundenen mnemonischen Phrase an den C2-Server weiter.
Kette aus zwei Downloader-Trojanern
Diese Kette ähnelt der ersten Kette, aber statt des Trojaners Trojan.Scavenger.1 (DLL-Datei) wird seine modifizierte Version Trojan.Scavenger.2 (Datei mit der Erweiterung .ASI) verbreitet. Es handelt sich dabei um eine dynamische Bibliothek mit der geänderten Erweiterung.
Das Archiv enthält ebenso eine Installationsanleitung:
Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.Wenn der Nutzer die Datei in das angegebene Verzeichnis kopiert, wird die Datei beim Start des entsprechenden Computerspiels automatisch ausgeführt und als dessen Plug-in erkannt. Die nächsten Schritte sind mit der oben geschriebenen Kette identisch.
Besonderheiten der Familie
Eine der Besonderheiten von Trojanern dieser Familie besteht darin, dass sie prüfen, in welcher Umgebung sie ausgeführt werden. Wenn der Trojaner Merkmale einer künstlichen Umgebung (virtuelle Umgebung, Debug-Modus) erkennt, beendet er seine Aktivität.
Eine weitere Besonderheit ist ein einheitlicher Algorithmus zur Kommunikation mit dem Verwaltungsserver. Bevor der Trojaner eine Verbindung mit dem Server herstellt, wird ein Schlüssel erstellt und die Verschlüsselung wird geprüft. Es werden zwei Anfragen gesendet. Die erste dient dazu, einen Teil des Schlüssels abzurufen, der zur Verschlüsselung einiger Parameter und Daten in bestimmten Anfragen verwendet wird. Die zweite Anfrage dient zur Prüfung des Schlüssels und enthält bestimmte Parameter: zufällig generierte Zeichenfolge, aktuelle Uhrzeit, verschlüsselter Zeitwert etc. Als Antwort auf diese Anfrage sendet der Server den zuvor empfangenen String. Alle nachfolgenden Anfragen enthalten Zeitparameter. Wenn diese fehlen, verweigert der Server die Verbindungsherstellung.
Mehr zu Trojan.Scavenger.1
Mehr zu Trojan.Scavenger.2
Mehr zu Trojan.Scavenger.3
Mehr zu Trojan.Scavenger.4
Mehr zu Trojan.Scavenger.5
Schlussfolgerung
Wir haben die Entwickler der Anwendungen, die die Schwachstellen aufweisen, über die Infektionsgefahr informiert. Sie sind leider der Ansicht, für die DLL Search Order Hijacking-Sicherheitslücken sei keine Behebung erforderlich. Der in den Dr.Web Antivirenprodukten integrierte Schutz vor Cyberangriffen dieser Art konnte die Ausnutzung dieser Schwachstellen in den betroffenen Browsern jedoch bereits erfolgreich verhindern, noch bevor wir die Familie Trojan.Scavenger erkannt haben, sodass unsere Benutzer nicht betroffen waren. Im Rahmen der Untersuchung wurde auch die Krypto-Wallet-App Exodus unter diesen Schutz gestellt.
Indikatoren der Kompromittierung