Uma nova campanha de malware voltada para computadores com Windows está em circulação, segundo relatório da empresa de segurança Doctor Web. A ofensiva utiliza variantes do Scavenger Trojan, desenvolvidas especificamente para explorar estruturas do sistema operacional da Microsoft e roubar dados sensíveis — especialmente de carteiras de criptomoedas e gerenciadores de senhas.
A campanha foi descoberta durante a investigação de um ataque cibernético contra uma empresa russa. O malware se aproveitou da técnica conhecida como “DLL Search Order Hijacking” para executar pacotes maliciosos e extrair informações confidenciais.
Nesse caso, a ação foi identificada após usuários notarem o aparecimento de arquivos desconhecidos por meio do navegador.
O que é DLL Search Order Hijacking?
O método DLL Search Order Hijacking (ou “sequestro da ordem de busca de DLLs”, em português) consiste em inserir arquivos maliciosos disfarçados de componentes legítimos dentro de aplicações.
A técnica explora o fato de que o Windows, ao iniciar um programa, prioriza o carregamento de arquivos DLL que estão no mesmo diretório da aplicação. Com isso, um arquivo malicioso com o mesmo nome de um DLL real pode ser executado no lugar do original.
Ao ser iniciado, o aplicativo infectado ativa o arquivo falso, permitindo que o malware tenha os mesmos acessos e permissões do software legítimo.
Ataque em múltiplas camadas
Nesta campanha, os cibercriminosos distribuíram os trojans em diferentes fases. O primeiro estágio é o Trojan.Scavenger.1, disfarçado de um suposto patch de performance para o jogo Oblivion Remastered, da Bethesda. A vítima era instruída a substituir o DLL original do jogo pela versão maliciosa.
O arquivo malicioso utiliza o mesmo nome de uma DLL nativa do Windows, o que garante sua execução em vez do arquivo legítimo.
Ao ser ativado, o Trojan.Scavenger.1 baixa e instala os componentes complementares Trojan.Scavenger.2, Trojan.Scavenger.3 e Trojan.Scavenger.4. Essas variantes se passam por arquivos legítimos em softwares específicos — como navegadores baseados no Chromium, incluindo Chrome, Edge, Opera e Yandex.
Uma vez infiltrados nos navegadores, os trojans coletam dados sensíveis de carteiras de criptomoedas e gerenciadores de senhas. Para isso, eles alteram preferências de segurança, desativam mecanismos de proteção e analisam as extensões instaladas. Entre os alvos estão ferramentas como Slush, Phantom, LastPass, MetaMask, Bitwarden e, no caso do Trojan.Scavenger.4, especificamente a carteira Exodus.
Empresas foram notificadas, mas o risco persiste
Segundo o Doctor Web, as empresas cujos softwares são vulneráveis já foram notificadas, mas a maioria se recusou a implementar correções. Por isso, cabe aos usuários redobrar a atenção com arquivos baixados da internet — especialmente quando se trata de supostos patches, mods ou ferramentas de performance para jogos.
Quer se proteger melhor contra ciberataques? Siga o TecMundo nas redes sociais e fique por dentro das principais ameaças digitais e dicas de segurança.
