Dr.Web

Gamers, bersiaplah: dengan kedok cheat dan mod, penipu menyebarkan trojan Windows untuk mencuri mata uang kripto dan password

Ulasan Viral

22 Juli 2025

Laboratorium virus Doctor Web telah menemukan sekelompok malware bernama Trojan.Scavenger yang digunakan oleh penyerang untuk mencuri data rahasia dari dompet kripto dan password manager pengguna OS Windows. Ada beberapa trojan dari kelompok ini yang digunakan untuk menyerang komputer melalui aplikasi sah yang digunakan untuk meluncurkannya, dengan memanfaatkan kerentanan kelas DLL Search Order Hijacking.

Pengantar

Pada tahun 2024 Doctor Web menyelediki insiden keamanan informasi yang terkait dengan upaya serangan tertarget terhadap sebuah perusahaan Rusia. Skema serangan tersebut melibatkan penggunaan malware yang memanfaatkan kerentanan salah satu browser web populer terhadap upaya pencegatan urutan pencarian DLL (DLL Search Order Hijacking) untuk menyerang sistem yang dijadikan target. Saat aplikasi Windows diluncurkan, aplikasi tersebut mencari library yang dibutuhkan untuk operasinya di berbagai repositori dan dalam urutan tertentu. Untuk "menipu" program ini, penyerang menempatkan file DLL berbahaya di lokasi tempat pencarian akan dilakukan terlebih dahulu - misalnya, dalam katalog direktori instalasi perangkat lunak yang ditargetkan. Dalam hal ini file trojan diberi nama library sah yang terletak di direktori dengan prioritas pencarian yang lebih rendah. Akibatnya, program yang rentan memuat DLL berbahaya terlebih dahulu saat diluncurkan. Program tersebut berfungsi sebagai bagian dari DLL tersebut dan mendapat hak yang sama.

Menindaklanjuti insiden dimaksud para spesialis kami telah menerapkan dalam produk antivirus Dr.Web fungsionalitas yang memungkinkan pelacakan dan pencegahan upaya pemanfaatan kerentanan terhadap pencegatan urutan pencarian DLL. Saat mempelajari telemetri fungsi ini para analis virus Dr.Web menemukan kasus-kasus unduhan malware yang sebelumnya tidak dikenal ke beberapa browser yang digunakan oleh pelanggan kami. Dengan menyelidiki kasus-kasus tersebut kami berhasil menemukan kampanye peretasan baru yang akan dibahas dalam artikel ini.

Serangan pada komputer dengan menggunakan malware Trojan.Scavenger dilakukan dalam beberapa tahap dan diawali dengan trojan loader yang masuk ke dalam sistem yang ditargetkan dengan berbagai cara. Spesialis kami mengidentifikasi dua jenis rangkaian kampanye ini dengan jumlah komponen trojan yang berbeda-beda.

Rangkaian tiga loader

Dalam rangkaian penyerangan ini komponen awalnya adalah malware Trojan.Scavenger.1 yang merupakan dynamic library (DLL). Malware ini dapat disebarkan baik dalam bentuk bagian dari game bajakan maupun dengan kedok berbagai patch, cheat dan mod game melalui torrent dan situs web bertema game. Di bawah ini, kita akan melihat contoh di mana penipu menyamarkan trojan sebagai patch.

Trojan.Scavenger.1 disebarkan dalam arsip ZIP bersama dengan petunjuk instalasinya. Di dalamnya para penipu mendorong calon korbannya untuk menempatkan “patch” di dalam katalog dengan game Oblivion Remastered seolah-olah untuk meningkatkan produktivitasnya.

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Pilihan nama file berbahaya ini oleh para penyerang bukan secara kebetulan: di dalam OS Windows file yang sah bernama [string]umpdc.dll[/string] terletak di katalog sistem [string]%WINDIR%\System32[/string]. File ini merupakan bagian dari API grafis yang digunakan oleh berbagai program, termasuk games. Jika versi game yang dimiliki korban ada kerentanan yang belum diperbaiki, maka file trojan yang disalin akan diluncurkan secara otomatis bersama dengannya. Perlu dicatat bahwa versi game Oblivion Remastered yang dipakai saat penelitian ini dilakukan telah memproses urutan pencarian library [string]umpdc.dll[/string] dengan benar, sehingga dalam contoh yang dibahas Trojan.Scavenger.1 tidak dapat diluncurkan secara otomatis bersama dengannya dan melanjutkan rangkaian penyerangan.

Jika trojan berhasil dijalankan, lalu trojan tersebut akan mengunduh loader Trojan.Scavenger.2 ([string]tmp6FC15.dll[/string]) dari server jarak jauh dan meluncurkannya dengan memulai tahap berikutnya. Selanjutnya trojan itu akan mengunduh dan menginstal modul lain dari kelompok yang sama yaitu Trojan.Scavenger.3 dan Trojan.Scavenger.4 ke dalam sistem.

Trojan.Scavenger.3 adalah sebuah dynamic library [string]version.dll[/string] yang disalin ke katalog salah satu browser yang dijadikan target yang dibuat atas dasar engine Chromium. Library ini memiliki nama yang sama dengan salah satu library sistem di direktori [string]%WINDIR%\System32[/string]. Browser yang rentan terhadap pencegatan urutan pencarian DLL tidak memeriksa dari mana library dengan nama tersebut diunduh. Dan karena file trojan berada dalam katalognya, file tersebut memiliki prioritas di atas library sistem yang sah dan akan diunduh terlebih dahulu. Analis virus kami telah mencatat upaya untuk memanfaatkan kerentanan ini di Google Chrome, Microsoft Edge, Yandex Browser dan Opera.

Setelah diluncurkan, Trojan.Scavenger.3 menonaktifkan mekanisme keamanan browser yang ditargetkan, misalnya peluncuran sandboxnya, yang menyebabkan isolasi kode JS yang dieksekusi menghilang. Selain itu, trojan menonaktifkan pemeriksaan ekstensi browser. Untuk melakukannya trojan mengidentifikasi library Chromium berdasarkan keberadaan fungsi yang diekspor [string]CrashForExceptionInNonABICompliantCodeRange[/string]. Kemudian trojan akan mencari prosedur pemeriksaan ekstensi di library ini dan menerapkan patch yang sesuai.

Selanjutnya trojannya akan memodifikasi ekstensi yang ditargetkan yang terinstal di browser dan mendapat modifikasi yang diperlukan dalam bentuk kode JavaScript dari server C2. Yang dapat diubah adalah:

  • dompet kripto
    Phantom
    Slush
    MetaMask

  • password manager
    Bitwarden
    LastPass

Dalam hal ini yang dimodifikasi bukan file asli, melainkan salinan yang sebelumnya ditempatkan oleh trojan di direktori [string]%TEMP%/ServiceWorkerCache[/string]. Agar browser dapat "mendeteksi" ekstensi yang dimodifikasi, Trojan.Scavenger.3 mengambil alih fungsi [string]CreateFileW[/string] dan [string]GetFileAttributesExW[/string] dan mengganti jalur lokal ke file asli dengan jalur ke modifikasi (Dr.Web mendeteksinya sebagai Trojan.Scavenger.5).

Terdapat dua versi modifikasi itu sendiri yaitu:

  • time tag ditambahkan ke Cookie;
  • ditambahkan pengiriman data pengguna ke server C2.

Dompet kripto Phantom, Slush dan MetaMask mengirimkan kunci pribadi dan frasa mnemonik kepada penyerang. Password manager Bitwarden mengirimkan Cookie untuk otorisasi kepada penyerang juga, dan LastPass mengirimkan password yang ditambahkan oleh korban.

Selanjutnya, Trojan.Scavenger.4 ([string]profapi.dll[/string]) disalin ke katalog dengan aplikasi dompet kripto Exodus. Trojan diluncurkan secara otomatis bersama program ini, sekaligus memanfaatkan kerentanan DLL Search Order Hijacking (library sistem yang sah [string]profapi.dll[/string] terletak di direktori [string]%WINDIR%\System32[/string], tetapi karena kerentanan tersebut, file trojan diprioritaskan saat dompet diluncurkan).

Setelah diluncurkan, Trojan.Scavenger.4 mengambil alih fungsi [string]v8::String::NewFromUtf8[/string] dari engine V8 untuk beroperasi dalam JavaScript dan WebAssambly. Demikian malwarenya memantau JSON yang dihasilkan oleh aplikasi yang ditargetkan, dan dapat memperoleh berbagai data pengguna. Dalam kasus program Exodus, trojan mencari JSON yang berisi kunci [string]passphrase[/string], lalu membacanya. Hasilnya, trojan mendapat frasa mnemonik pengguna yang dapat digunakan untuk mendekripsi atau menghasilkan kunci pribadi untuk dompet kripto korban. Selanjutnya trojan menemukan kunci pribadi [string]seed.seco[/string] untuk dompet kripto, membacanya dan mengirimkannya ke server C2 bersama frasa mnemonik yang telah diperoleh sebelumnya.

Rangkaian dua loader

Rangkaian ini secara umum identik dengan rangkaian pertama. Namun dalam arsip yang disebarkan yang berisi "patch" dan "cheat" untuk games terdapat bukan Trojan.Scavenger.1 tetapi versi modifikasi dari Trojan.Scavenger.2 yang disajikan bukan dalam bentuk file DLL, melainkan sebagai file dengan ekstensi [string].ASI[/string] (yang sebenarnya adalah dynamic library dengan ekstensi yang dimodifikasi).

Arsip ini juga disertai petunjuk instalasi:

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

Setelah pengguna menyalin file ke direktori yang ditentukan, file tersebut akan otomatis diluncurkan saat game yang ditargetkan diluncurkan, dengan game tersebut menganggapnya sebagai pluginnya. Mulai dari situ, rangkaian penyerangan akan mengulangi langkah-langkah dari rangkaian pertama.

Ciri khas kelompok dimaksud

Sebagian besar trojan dari kelompok ini memiliki sejumlah fitur umum. Salah satunya adalah prosedur standar untuk memeriksa lingkungan sekitar untuk mengecek adanya pengoperasian dalam lingkungan virtual atau dalam debug mode. Jika trojan mendeteksi tanda-tanda lingkungan buatan, maka proses operasi akan dihentikan.

Ciri khas lain dari kelompok ini adalah algoritma tunggal untuk berkomunikasi dengan server pengendali. Untuk berkomunikasi dengannya trojan melewati tahap pembuatan kunci dan verifikasi enkripsi. Tahap ini terdiri dari pengiriman dua permintaan. Permintaan pertama diperlukan untuk mendapatkan sebagian dari kunci yang digunakan untuk mengenkripsi beberapa parameter dan data dalam permintaan tertentu. Permintaan kedua dilakukan untuk memverifikasi kunci dan berisi parameter tertentu, seperti barisan yang dihasilkan secara acak, waktu saat operasi dan angka yang menandai waktu yang dienkripsi. Server C2 meresponsnya dengan barisan yang diterima sebelumnya. Semua permintaan selanjutnya berisi parameter waktu, dan jika parameter tersebut tidak ada, server menolak untuk terhubung.

Kesimpulan

Kami telah memberi tahu para pengembang perangkat lunak yang kerentanan keamanannya telah dimanfaatkan berdasarkan temuan kami, tetapi mereka menganggap kerentanan DLL Search Order Hijacking tidak perlu diperbaiki. Namun perlindungan dari serangan macam ini yang diterapkan dalam produk antivirus Dr.Web berhasil menangkal pemanfaatan kerentanan di browser yang terdampak bahkan sebelum kami mengetahui adanya kelompok malware Trojan.Scavenger, sehingga trojan ini tidak menjadi ancaman bagi pengguna kami. Dan sebagai bagian dari penelitian, aplikasi dompet kripto Exodus juga ditambahkan ke dalam sarana perlindungan ini.