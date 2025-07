Специалисты «Доктор Веб» рассказали о семействе малвари Trojan.Scavenger, с помощью которого злоумышленники воруют данные из криптокошельков и менеджеров паролей у пользователей Windows. Для запуска вредоносов используются легитимные приложения и эксплуатируются уязвимости, связанные с перехватом порядка поиска DLL (DLL Search Order Hijacking).

В своем отчете исследователи напоминают, что в 2024 году они обнаружили попытку проведения целевой атаки на российского оператора грузовых железнодорожных перевозок. Тогда атакующие эксплуатировали уязвимость «Яндекс Браузера» к перехвату порядка поиска DLL.

Дело в том, что Windows-приложения при запуске производят поиск необходимых для работы библиотек в различных хранилищах и в определенной последовательности. Злоумышленники размещают вредоносные DLL-файлы там, где поиск будет выполняться в первую очередь (например, в каталоге установки целевого ПО). При этом вредоносным файлам даются имена легитимных библиотек, которые располагаются в менее приоритетных для поиска директориях. В результате уязвимые программы первыми загружают именно вредоносные DLL.

После изучения инцидента 2024 года, специалисты внедрили в антивирусные продукты Dr.Web функциональность, которая позволяет отслеживать и предотвращать попытки эксплуатации такого рода уязвимостей.

Теперь же, при изучении телеметрии этой функции, аналитики обнаружили попытки загрузки ранее неизвестной малвари Trojan.Scavenger в несколько браузеров клиентов. В итоге были выявлены две цепочки заражения с разным числом задействованных троянских компонентов.

Так, в цепочке из трех загрузчиков стартовым компонентом является Trojan.Scavenger.1, представляющий собой DLL. Эта малварь может распространяться как в составе пиратских игр, так и под видом различных игровых патчей, читов и модов через торренты и посвященные игровой тематике сайты. Да

В случае, когда вредонос маскируется под патч, Trojan.Scavenger.1 распространяется в виде ZIP-архива вместе с инструкцией по установке. В ней злоумышленники побуждают потенциальную жертву поместить «патч» в каталог с игрой Oblivion Remastered — якобы для улучшения ее производительности.

Drag umpdc.dll and engine.ini to the game folder:

\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64

Engine.ini will automatically be loaded by the module.

The module will also apply some native patches to improve performance