Les joueurs dans la ligne de mire : sous couvert de "tricheurs" (ou "cheats") et de mods, des cybercriminels diffusent des chevaux de Troie Windows pour voler crypto-monnaies et mots de passe

le 22 juillet 2025

Le laboratoire de Doctor Web a découvert une famille de programmes malveillants, nommé Trojan.Scavenger, utilisée par des attaquants pour dérober des données confidentielles notamment des informations provenant de portefeuilles de crypto-monnaies et de gestionnaires de mots de passe d'utilisateurs de Windows. Plusieurs chevaux de Troie de la famille sont impliqués dans l'infection d'ordinateurs, tandis que des applications légitimes sont utilisées pour les lancer, y compris des vulnérabilités de la classe DLL Search Order Hijacking.

Introduction

En 2024, Doctor Web avait enquêté sur un incident de sécurité informatique impliquant une tentative de mener une attaque ciblée contre une entreprise russe. Le schéma d'attaque comprenait l'utilisation de logiciels malveillants qui exploitaient une vulnérabilité pour intercepter l'ordre de recherche DLL (DLL Search Order Hijacking) dans un navigateur Web populaire pour infecter le système cible. Lorsque les applications Windows sont lancées, elles recherchent les bibliothèques nécessaires au fonctionnement dans différents référentiels et dans une certaine séquence. Pour « tromper » les programmes, les attaquants placent des fichiers DLL malveillants dans des répertoires où la recherche sera effectuée en premier, par exemple dans le répertoire d'installation du logiciel cible. Dans le même temps, les fichiers de chevaux de Troie reçoivent le nom de bibliothèques légitimes, situées dans des répertoires moins prioritaires pour la recherche. Par conséquent, lors du démarrage, les programmes vulnérables sont les premiers à charger des DLL malveillantes. Ils fonctionnent en tant que partie intégrante de ces programmes et reçoivent les mêmes droits.

À la suite de l'incident, nos spécialistes ont introduit des fonctionnalités dans les produits antivirus Dr.Web qui nous permettent de suivre et d'empêcher les tentatives d'exploitation des vulnérabilités pour intercepter l'ordre de recherche DLL. Lors de l'étude de la télémétrie de cette fonctionnalité, les analystes de Doctor Web ont identifié des cas de téléchargement de logiciels malveillants précédemment inconnus vers plusieurs navigateurs de nos clients à la fois. L'étude de ces cas a permis de découvrir une nouvelle campagne de piratage, qui fera l’objet de cet article.

La contamination des ordinateurs par le logiciel malveillant Trojan.Scavenger se fait en plusieurs étapes et commence par des chevaux de Troie téléchargeurs qui pénètrent dans les systèmes cibles de diverses manières. Nos experts ont identifié deux chaînes de cette campagne avec des nombres différents de composants de chevaux de Troie impliqués.

Chaîne de trois téléchargeurs

Dans cette chaîne d'infection, le composant de démarrage est Trojan.Scavenger.1, qui représente une bibliothèque dynamique (DLL). EIle peut être distribuée dans le cadre de jeux piratés, ainsi que sous le couvert de divers correctifs de jeu, tricheurs et mods via des torrents et des sites sur le thème du jeu. Ensuite, nous examinerons un exemple où des escrocs font passer un cheval de Troie pour un patch.

Trojan.Scavenger.1 est distribué dans une archive zip avec les instructions d'installation. Dans ces instructions, les attaquants encouragent une victime potentielle à mettre un « patch » dans le catalogue avec le jeu Oblivion Remastered — prétendument pour améliorer ses performances :

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Le nom du fichier malveillant n'a pas été choisi au hasard par les attaquants : sous Windows, un fichier légitime nommé umpdc.dll se trouve dans le répertoire système %WINDIR%\System32. Il fait partie de l'API graphique, qui est utilisée par divers programmes, y compris des jeux. S'il y a une vulnérabilité non corrigée dans la version du jeu installée par la victime, le fichier de cheval de Troie copié s'exécutera automatiquement avec cette version. Il convient de noter que la version actuelle du jeu Oblivion Remastered a correctement traité la file d'attente de recherche de la bibliothèque umpdc.dll, donc dans cet exemple, Trojan.Scavenger.1 ne pouvait pas démarrer automatiquement avec elle et poursuivre la chaîne d'infection.

Après un lancement réussi, le cheval de Troie est téléchargé à partir d'un serveur distant et lance l'étape suivante - le téléchargeur Trojan.Scavenger.2 (tmp6FC15.dll). Ce dernier télécharge et installe à son tour, d'autres modules de la famille — Trojan.Scavenger.3 et Trojan.Scavenger.4.

Trojan.Scavenger.3 est une bibliothèque dynamique version.dll qui est copiée dans le répertoire de l'un des navigateurs cibles construits sur le moteur Chromium. Elle porte le même nom que l'une des bibliothèques système du répertoire %WINDIR%\System32. Les navigateurs vulnérables à l'interception de l'ordre de recherche DLL ne vérifient pas la source de la bibliothèque chargée portant ce nom. Et comme le fichier Trojan se trouve dans leur répertoire, il a la priorité sur la bibliothèque système légitime et est chargé en premier. Nos analystes ont enregistré des tentatives d'exploitation de cette vulnérabilité dans Google Chrome, Microsoft Edge, Yandex Browser et Opera.

Une fois démarré, Trojan.Scavenger.3 désactive les mécanismes de sécurité du navigateur cible — notamment, le lancement de son bac à sable — ce qui entraîne la disparition de l'isolement du code JS exécutable. De plus, le cheval de Troie désactive la vérification des extensions dans le navigateur. Pour ce faire, il détermine la bibliothèque Chromium correspondante par la présence de la fonction d'exportation CrashForExceptionInNonABICompliantCodeRange. Il recherche ensuite la procédure de validation de l'extension dans cette bibliothèque et apporte le correctif approprié.

Ensuite, le cheval de Troie modifie les extensions cibles installées dans le navigateur, recevant les modifications nécessaires sous forme de code JavaScript du serveur C2. Les éléments suivants peuvent faire l'objet de modifications :

• portefeuilles cryptographiques
  • Phantom
  • Slush
  • MetaMask
• gestionnaires de mots de passe
  • Bitwarden
  • LastPass

Dans ce cas, ce ne sont pas les originaux qui sont modifiés, mais les copies que le cheval de Troie place préalablement dans le répertoire %TEMP%/ServiceWorkerCache. Et pour que le navigateur « récupère » les extensions modifiées, Trojan.Scavenger.3 intercepte le contrôle des fonctions CreateFileW e GetFileAttributesExW, en remplaçant les chemins locaux vers les fichiers d'origine sur le chemin des modifications (Dr.Web les détecte en tant que Trojan.Scavenger.5).

Les modifications sont représentées par deux options :

• un horodatage est ajouté au cookie ;
• l'envoi de données utilisateur au serveur C2 est ajouté.

À partir des portefeuilles cryptographiques Phantom, Slush et MetaMask, des clés privées et des phrases mnémoniques sont transmises aux attaquants. Un cookie de connexion leur est envoyé à partir du gestionnaire de mots de passe Bitwarden, et les mots de passe ajoutés par les victimes leur sont envoyés à partir de LastPass.

A soest copié dans le répertoire avec l'application de crypto-portefeuille Exodus. Le cheval de Troie s'exécute automatiquement avec ce programme, exploitant également la vulnérabilité DLL Search Order Hijacking (la bibliothèque système légitime profapi.dll se trouve dans le répertoire %WINDIR%\System32, mais en raison de la vulnérabilité, la priorité de téléchargement lors du démarrage du portefeuille est donnée au fichier de cheval de Troie).

Après le démarrage, Trojan.Scavenger.4 intercepte la fonction v8::String::NewFromUtf8 du moteur V8 pour fonctionner avec JavaScript et WebAssembly. Avec son aide, le malware surveille JSON généré par l'application cible et peut recevoir diverses données utilisateur. Dans le cas du programme Exodus, le cheval de Troie recherche un JSON qui contient la clé passphrase, puis lit sa valeur. En conséquence, il reçoit une phrase mnémotechnique personnalisée qui peut déchiffrer ou générer une clé privée à partir du portefeuille cryptographique de la victime. Ensuite, le cheval de Troie trouve la clé privée seed.seco du portefeuille crypto, la lit et, avec la phrase mnémonique précédemment reçue, l'envoie au serveur C2.

Chaîne de 2 téléchargeurs

Cette chaîne est généralement identique à la première, mais dans les archives distribuées avec des « patchs » et des « cheats » pour les jeux, au lieu de Trojan.Scavenger.1, on voit une version modifiée de Trojan.Scavenger.2 présentée non pas comme un fichier DLL, mais comme un fichier avec l'extension .ASI (il s'agit en fait d'une bibliothèque dynamique avec une extension modifiée).

Les archives sont également accompagnées d'instructions d'installation :

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

Une fois que l'utilisateur a copié le fichier dans le répertoire spécifié, il démarrera automatiquement au début du jeu cible, qui le percevra comme son plugin. À partir de ce moment, la chaîne d'infection reprend les étapes de la première option.

Caractéristiques de la famille

La plupart des chevaux de Troie de la famille présentent un certain nombre de caractéristiques communes. L'une d'entre elles est la procédure standard de vérification du fonctionnement de l'environnement dans un environnement virtuel ou en mode de débogage. Si les chevaux de Troie détectent des signes d'un environnement artificiel, ils s'arrêtent.

Une autre caractéristique de cette famille est un algorithme unique pour communiquer avec le serveur de contrôle. Pour communiquer avec le serveur, les chevaux de Troie passent par l'étape de création d'une clé et de vérification du chiffrement. Elle consiste à envoyer deux demandes. La première est nécessaire pour obtenir une partie de la clé, qui est utilisée pour chiffrer certains paramètres et données dans certaines requêtes. La seconde est effectuée pour vérifier la clé et contient certains paramètres, tels qu'une chaîne générée de manière aléatoire, l'heure actuelle et une valeur d'heure cryptée. Le serveur C2 y répond avec la chaîne reçue précédemment. Toutes les demandes suivantes contiennent des paramètres de temps, si ceux-ci ne sont pas disponibles, le serveur refuse d'établir la connexion.

Plus d'info sur Trojan.Scavenger.1

Plus d'info sur Trojan.Scavenger.2

Plus d'info sur Trojan.Scavenger.3

Plus d'info sur Trojan.Scavenger.4

Plus d'info sur Trojan.Scavenger.5

Conclusion

Nous avons informé les développeurs dont le logiciel exploitait les failles de sécurité identifiées, mais ils ont trouvé des vulnérabilités de type DLL Search Order Hijacking comme celles qui ne nécessitent pas de correctifs. Cependant la protection contre les attaques de ce type mise en œuvre dans les produits antivirus Dr.Web a permis de contrer l'exploitation des vulnérabilités dans les navigateurs affectés, et ce, avant même que nous n’ayons appris l'existence de la famille de logiciels malveillants Trojan.Scavenger de sorte que ces chevaux de Troie ne menaçaient pas nos utilisateurs. Dans le cadre de l'étude, la protection a également été ajoutée à l'application de portefeuille crypto Exodus.