Подмена DLL (DLL Hijacking) — довольно частое явление в Windows. Windows использует систему приоритетов для определения места загрузки DLL-файла, если приложение не указывает полный путь. Атаки с перехватом DLL эксплуатируют эту систему за счет размещения вредоносных файлов в месте с более высоким приоритетом. Затем программа загружает вредоносную DLL вместо легитимного DLL-файла.
В случае с вредоносной кампанией, нацеленной на OneDrive, злоумышленники используют эту концепцию для внедрения вредоносного DLL-файла в пользовательскую папку в системе. Фальшивый файл secure32.dll записывается по пути: %LocalAppData%\Microsoft\OneDrive\ процессом без повышенных прав. Затем вредоносная библиотека динамической компоновки загружается двумя процессами OneDrive: OneDrive.exe и OneDriveStandaloneUpdater.exe.
Процесс обновления OneDrive запускается один раз в день, что гарантирует загрузку вредоносного ПО в систему, если оно не будет обнаружено антивирусом. Злоумышленники также добавляют OneDrive.exe в автозагрузку, чтобы «сделать постоянство угрозы еще более надежным».
При первой загрузке поддельной DLL на компьютер жертвы загружается ПО для майнинга криптовалюты.
В отчете сообщается:
После загрузки в один из процессов OneDrive поддельная библиотека secur32.dll загружает программное обеспечение для майнинга криптовалюты с открытым исходным кодом и внедряет его в легитимные процессы Windows.
Xотя в настоящее время атака ограничивается майнингом криптовалюты, BitDefender считает, что у злоумышленников есть возможность переключиться на другие виды вредоносной активности, включая развертывание программ-вымогателей или шпионских программ.
Антивирусный вендор рекомендует устанавливать OneDrive для всего компьютера, а не для отдельного пользователя, чтобы избежать уязвимости, связанной с подменой DLL. Злоумышленникам действительно нужно успешно проникнуть на ПК с Windows, чтобы сохранить вредоносный DLL-файл в пользовательском каталоге OneDrive. Надежная защита от вредоносных угроз в комбинации со здравым смыслом должны предотвратить атаку.
Пользователи и администраторы Windows могут проверить установку OneDrive на ПК с Windows, чтобы узнать, не был ли вредоносный DLL-файл уже установлен в системе. Для этого откройте расположение %LocalAppData%\Microsoft\OneDrive\ в Проводнике и поищите файл secur.dll в каталоге OneDrive.
Угрозы безопасности
• Уязвимость LogoFail затрагивает многие устройства Windows и Linux
• Вредоносное ПО SpyLoan для Android было загружено из Google Play более 12 миллионов раз
• Новая уязвимость в iOS 17: Пользователи iPhone могут столкнуться с подменой имен контактов
• BLUFFS: новые уязвимости Bluetooth затрагивают большинство устройств
• Часть пользователей Google Диск потеряли свои файлы с мая по ноябрь 2023 года
• Исследователям безопасности удалось обойти биометрическую аутентификацию Windows Hello по отпечатку пальца