Подмена DLL (DLL Hijacking) — довольно частое явление в Windows. Windows использует систему приоритетов для определения места загрузки DLL-файла, если приложение не указывает полный путь. Атаки с перехватом DLL эксплуатируют эту систему за счет размещения вредоносных файлов в месте с более высоким приоритетом. Затем программа загружает вредоносную DLL вместо легитимного DLL-файла.
В случае с вредоносной кампанией, нацеленной на OneDrive, злоумышленники используют эту концепцию для внедрения вредоносного DLL-файла в пользовательскую папку в системе. Фальшивый файл secure32.dll записывается по пути: %LocalAppData%\Microsoft\OneDrive\ процессом без повышенных прав. Затем вредоносная библиотека динамической компоновки загружается двумя процессами OneDrive: OneDrive.exe и OneDriveStandaloneUpdater.exe.
Процесс обновления OneDrive запускается один раз в день, что гарантирует загрузку вредоносного ПО в систему, если оно не будет обнаружено антивирусом. Злоумышленники также добавляют OneDrive.exe в автозагрузку, чтобы «сделать постоянство угрозы еще более надежным».
При первой загрузке поддельной DLL на компьютер жертвы загружается ПО для майнинга криптовалюты.
В отчете сообщается:
После загрузки в один из процессов OneDrive поддельная библиотека secur32.dll загружает программное обеспечение для майнинга криптовалюты с открытым исходным кодом и внедряет его в легитимные процессы Windows.
Xотя в настоящее время атака ограничивается майнингом криптовалюты, BitDefender считает, что у злоумышленников есть возможность переключиться на другие виды вредоносной активности, включая развертывание программ-вымогателей или шпионских программ.
Антивирусный вендор рекомендует устанавливать OneDrive для всего компьютера, а не для отдельного пользователя, чтобы избежать уязвимости, связанной с подменой DLL. Злоумышленникам действительно нужно успешно проникнуть на ПК с Windows, чтобы сохранить вредоносный DLL-файл в пользовательском каталоге OneDrive. Надежная защита от вредоносных угроз в комбинации со здравым смыслом должны предотвратить атаку.
Пользователи и администраторы Windows могут проверить установку OneDrive на ПК с Windows, чтобы узнать, не был ли вредоносный DLL-файл уже установлен в системе. Для этого откройте расположение %LocalAppData%\Microsoft\OneDrive\ в Проводнике и поищите файл secur.dll в каталоге OneDrive.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов