São Paulo — InkDesign News — Um novo relatório da Doctor Web detalha uma campanha de malware envolvendo uma nova família de trojans chamada Trojan.Scavenger. Esses trojans exploram uma vulnerabilidade no carregamento de componentes do Windows para extrair informações sensíveis de carteiras de criptoativos e gerenciadores de senhas.
Incidente e vulnerabilidade
Os especialistas da Doctor Web investigaram um ataque direcionado a uma empresa russa, onde identificaram o uso de DLL Search Order Hijacking. Essa técnica permite que arquivos maliciosos se disfarcem de componentes legítimos, colocando uma DLL falsa na mesma pasta que o aplicativo alvo, o que resulta na sua execução em lugar da versão legítima. Embora a falha não tenha funcionado em todas as aplicações, a estrutura do exploit demonstra como criminosos cibernéticos podem comprometê-las.
Impacto e resposta
Quando o Trojan.Scavenger é ativado, ele baixa estágios adicionais, como Trojan.Scavenger.2, que instala componentes maliciosos disfarçados em navegadores baseados em Chromium, como Chrome e Edge. Esses componentes desativam recursos de segurança do navegador e modificam extensões populares, como LastPass e MetaMask, permitindo que dados críticos, como frases mnemônicas e senhas salvas, sejam enviados a servidores controlados pelos atacantes. O Trojan.Scavenger.4, por sua vez, é direcionado contra a carteira de criptoativos Exodus, coletando informações de acesso sensíveis.
A equipe de pesquisa notificou os desenvolvedores dos aplicativos vulneráveis, mas a maioria se recusou a corrigir a falha de DLL hijacking. Portanto, os usuários devem ser cautelosos em suas instalações.
— Doctor Web, Relatório de Segurança
Mitigações recomendadas
Os usuários são aconselhados a evitar o download de aplicativos de lojas de terceiros, a não utilizar jogos pirateados e a manter seus softwares antivírus sempre atualizados. Implementar proteção contra o DLL hijacking em suites de segurança pode ajudar a mitigar os riscos associados a essas táticas. Além disso, manter um controle rigoroso sobre as extensões instaladas e realizar inspeções regulares pode reforçar a segurança dos sistemas.
As trojans verificam se estão operando em um ambiente virtual ou de depuração e cessam suas atividades se detectarem tais condições.
— Doctor Web, Análise Técnica
Em resumo, a proliferação do Trojan.Scavenger destaca a necessidade constante de vigilância e atualização nas práticas de segurança cibernética, especialmente em um cenário em que as táticas dos cibercriminosos continuam a evoluir.
Fonte: (Hack Read – Segurança Cibernética)
