Gamers, preparaos: los estafadores propagan troyanos para Windows camuflados por cheats y mods para robar criptomonedas y contraseñas

22 de julio de 2025

El laboratorio de virus de Doctor Web ha detectado una familia de malware llamado Trojan.Scavenger, usada por los delincuentes para robar datos privados de monederos de criptomonedas y managers de contraseñas de usuarios del sistema operativo Windows. En la infección de los ordenadores participan varios troyanos de esta familia, y para su ejecución se utilizan aplicaciones legítimas, en las que se explotan vulnerabilidades del tipo DLL Search Order Hijacking.

Introducción

En el año 2024 la empresa Doctor Web investigó un incidente de seguridad informática, vinculado a un intento de realizar el ataque objetivo a una de las empresas rusas. El esquema del ataque incluía el uso del malware que, para infectar el sistema objetivo, explotaba una vulnerabilidad de intercepción de la secuencia de búsqueda de DLL (DLL Search Order Hijacking) en un navegador web popular. Al ejecutarse, las aplicaciones de Windows buscan las bibliotecas necesarias para funcionar en varios almacenes y en secuencia determinada. Para “engañar” a los programas, los atacantes colocan archivos DLL maliciosos donde se realizará la búsqueda en primer lugar — por ejemplo, en el directorio de instalación del software objetivo. A estos archivos troyanos se les asignan nombres de bibliotecas legítimas que se encuentran en directorios con menor prioridad de búsqueda. Como resultado, los programas vulnerables cargan primero precisamente las DLL maliciosas al iniciarse. Estas actúan como parte del programa y obtienen los mismos permisos.

Tras el incidente analizado, nuestros expertos incrustaron en los productos antivirus Dr.Web una funcionalidad que permite supervisar y prevenir intentos de explotación de vulnerabilidades relacionadas con la intercepción de la secuencia de búsqueda de DLL. Al analizar la telemetría de esta función, los analistas de virus de Doctor Web detectaron casos de carga de malware, hasta entonces desconocido, en varios navegadores de nuestros clientes. El análisis de estos casos permitió descubrir una nueva campaña de hackers, que se describe en el presente artículo.

La infección de ordenadores con malware Trojan.Scavenger es un proceso de varias etapas que comienza con troyanos descargadores que acceden a los sistemas objetivo por distintos medios. Nuestros expertos identificaron dos cadenas dentro de esta campaña, cada una con un número diferente de componentes troyanos implicados.

Cadena de tres descargadores

En esta cadena de infección el componente inicial es el malware Trojan.Scavenger.1, una biblioteca dinámica (DLL). Puede propagarse tanto como parte de juegos pirata como camuflado por varios parches de juego, cheats y modes a través de torrents y los sitios web dedicados a los temas de juegos. Más abajo vamos a analizar un ejemplo donde los estafadores presentan un troyano como si fuera un parche.

Trojan.Scavenger.1 se propaga en un archivo ZIP junto con una instrucción de instalación. En la misma, los malintencionados animan a la víctima potencial a colocar el “parche” en un catálogo con el juego Oblivion Remastered — supuestamente para mejorar el rendimiento del mismo:

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

El nombre del archivo malicioso no fue seleccionado por los atacantes al azar: en el SO Windows el archive legítimo con nombre umpdc.dll está en el catálogo de sistema %WINDIR%\System32. Forma parte de API gráfico usado por varios programas, así mismo, los juegos. Si la versión del juego instalado en el dispositivo de la víctima tiene una vulnerabilidad no cerrada, el archivo troyano copiado se iniciará de forma automática junto con la misma. Cabe destacar que la versión del juego Oblivion Remastered actual en el momento de investigación procesaba de forma correcta la secuencia de búsqueda de la biblioteca umpdc.dll, por lo tanto, en el ejemplo investigado Trojan.Scavenger.1 no pudo iniciarse de forma automática con la misma para continuar la cadena de infección.

En caso de inicio correcto, el troyano descarga del servidor remoto e inicia la siguiente etapa — el descargador Trojan.Scavenger.2 (tmp6FC15.dll). El mismo, a su vez, descarga e instala en el sistema otros módulos de la familia — Trojan.Scavenger.3 y Trojan.Scavenger.4.

Trojan.Scavenger.3 es una biblioteca dinámica version.dll que se copia en el catálogo de uno de los navegadores objetivo creados a base del motor Chromium. Tiene el mismo nombre que una de las bibliotecas de sistema en el directorio %WINDIR%\System32. Los navegadores DLL con vulnerabilidades de intercepción de secuencia de búsqueda no comprueban de donde se carga la biblioteca con este nombre. Y, como el archivo troyano está en su catálogo, el mismo tiene prioridad sobre la biblioteca legítima de sistema y se carga primero. Nuestros analistas de virus registraron los intentos de usar esta vulnerabilidad en los navegadores Google Chrome, Microsoft Edge, Yandex Browser y Opera.

Una vez iniciado, Trojan.Scavenger.3 desactiva los mecanismos de protección del navegador objetivo — por ejemplo, el inicio de su sandbox, — y, como resultado, el mismo pierde el aislamiento del código JS ejecutable. Además, el troyano desactiva la comprobación de extensiones en el navegador. Para realizarlo, detecta la biblioteca correspondiente Chromium en función de la presencia de la función exportada CrashForExceptionInNonABICompliantCodeRange en la misma. Luego busca el procedimiento de comprobación de extensiones en esta biblioteca y realiza el parche correspondiente.

Posteriormente, el troyano modifica las extensiones objetivo instaladas en el navegador, al recibir las modificaciones necesarias como código JavaScript desde el servidor C2. Se someten a los cambios:

• criptomonederos
  • Phantom
  • Slush
  • MetaMask
• Managers de contraseñas
  • Bitwarden
  • LastPass

Así mismo, no se modifican los originales, sino las copias que el troyano coloca de antemano en el catálogo %TEMP%/ServiceWorkerCache. Y para que el navegador “use” las extensiones modificadas, Trojan.Scavenger.3 intercepta la administración de funciones CreateFileW y GetFileAttributesExW, al suplantar las rutas locales a archivos originales en su vía a modificaciones (Dr.Web las detecta como Trojan.Scavenger.5).

Hay dos opciones de modificaciones:

• Se añade una marca temporal a Cookie;
• Se añade el envío de los datos de usuario al servidor C2.

De criptomonederos Phantom, Slush y MetaMask a los malintencionados se les entregan las claves privadas y las frases mnemónicas. Del manager de contraseñas Bitwarden se les envía la Cookie de autorización, y de LastPass — las contraseñas añadidas por las víctimas.

A su vez, Trojan.Scavenger.4 (profapi.dll) se copia en el catálogo junto con la aplicación del criptomonedero Exodus. El troyano se inicia de forma automática con este programa y también explota en el mismo la vulnerabilidad DLL Search Order Hijacking (la biblioteca de sistema legítima profapi.dll está en el directorio %WINDIR%\System32, pero a causa de la vulnerabilidad la prioridad de la carga al iniciar el monedero la tiene el archivo troyano).

Una vez iniciado, Trojan.Scavenger.4 intercepta la función v8::String::NewFromUtf8 del motor V8 para trabajar con JavaScript y WebAssambly. Con la misma, el malware supervisa JSON, generados por la aplicación objetiva, y puede recibir varios datos de usuario. En caso del programa Exodus el troyano busca JSON que tiene la clave passphrase, y luego lee su valor. Como resultado, recibe una frase mnemónica de usuario con la cual se puede descifrar o generar la clave privada del criptomonedero de la víctima. Luego el troyano busca la clave privada seed.seco del criptomonedero, lo lee y junto con la frase mnemónica lo envía al servidor C2.

Cadena de dos descargadores

Esta cadena en general es idéntica a la primera, pero en los archivos propagados con parches y cheats a los juegos en vez de Trojan.Scavenger.1 hay una versión modificada de Trojan.Scavenger.2 que no es un archivo DLL, sino un archivo con extension .ASI (en realidad es una biblioteca dinámica con extensión modificada).

El archivo también tiene instrucciones de instalación:

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

Una vez copiado el archivo al directorio por el usuario, el mismo se inicia de forma automática al iniciar el juego objetivo que lo considera como su propio plugin. Desde este momento, la cadena de infección repite los pasos de la primera opción.

Peculiaridades de la familia

La mayoría de los troyanos de esta familia comparten una serie de características comunes. Una de ellas es un procedimiento estándar para comprobar el entorno en busca de señales de ejecución en una máquina virtual o en modo de depuración. Si los troyanos detectan indicios de un entorno artificial, finalizan.

Otro rasgo característico de la familia es un algoritmo unificado de comunicación con el servidor de control. Para establecer la conexión, los troyanos pasan por una fase de generación de clave y verificación del cifrado. Este proceso consta de dos solicitudes. La primera se utiliza para obtener una parte de la clave que se emplea para cifrar ciertos parámetros y datos en solicitudes específicas. La segunda solicitud sirve para verificar la clave e incluye parámetros como una cadena generada aleatoriamente, la hora actual y un valor cifrado de esa misma hora. El servidor C2 responde a esta solicitud con la cadena previamente recibida. Todas las solicitudes posteriores incluyen parámetros de tiempo, y en caso de que falten, el servidor se niega a establecer la conexión.

Más información sobre Trojan.Scavenger.1

Más información sobre Trojan.Scavenger.2

Más información sobre Trojan.Scavenger.3

Más información sobre Trojan.Scavenger.4

Más información sobre Trojan.Scavenger.5

Conclusión

Hemos notificado a los desarrolladores en cuyo software se usaban las vulnerabilidades de seguridad detectadas, pero los mismos consideraron que las vulnerabilidades como DLL Search Order Hijacking no necesitaban corrección. Pero la protección de ataques de este tipo implementada en los productos antivirus Dr.Web afrontaba correctamente el uso de vulnerabilidades en los navegadores afectados aún antes de enterarnos de la familia de malware Trojan.Scavenger, por lo tanto, estos troyanos no amenazaban a nuestros usuarios. Y en el marco de la investigación realizada también fue añadida la protección de la aplicación del criptomonedero Exodus.