Подмена DLL (DLL Hijacking) — довольно частое явление в Windows. Windows использует систему приоритетов для определения места загрузки DLL-файла, если приложение не указывает полный путь. Атаки с перехватом DLL эксплуатируют эту систему за счет размещения вредоносных файлов в месте с более высоким приоритетом. Затем программа загружает вредоносную DLL вместо легитимного DLL-файла.
В случае с вредоносной кампанией, нацеленной на OneDrive, злоумышленники используют эту концепцию для внедрения вредоносного DLL-файла в пользовательскую папку в системе. Фальшивый файл secure32.dll записывается по пути: %LocalAppData%\Microsoft\OneDrive\ процессом без повышенных прав. Затем вредоносная библиотека динамической компоновки загружается двумя процессами OneDrive: OneDrive.exe и OneDriveStandaloneUpdater.exe.
Процесс обновления OneDrive запускается один раз в день, что гарантирует загрузку вредоносного ПО в систему, если оно не будет обнаружено антивирусом. Злоумышленники также добавляют OneDrive.exe в автозагрузку, чтобы «сделать постоянство угрозы еще более надежным».
При первой загрузке поддельной DLL на компьютер жертвы загружается ПО для майнинга криптовалюты.
В отчете сообщается:
После загрузки в один из процессов OneDrive поддельная библиотека secur32.dll загружает программное обеспечение для майнинга криптовалюты с открытым исходным кодом и внедряет его в легитимные процессы Windows.
Xотя в настоящее время атака ограничивается майнингом криптовалюты, BitDefender считает, что у злоумышленников есть возможность переключиться на другие виды вредоносной активности, включая развертывание программ-вымогателей или шпионских программ.
Антивирусный вендор рекомендует устанавливать OneDrive для всего компьютера, а не для отдельного пользователя, чтобы избежать уязвимости, связанной с подменой DLL. Злоумышленникам действительно нужно успешно проникнуть на ПК с Windows, чтобы сохранить вредоносный DLL-файл в пользовательском каталоге OneDrive. Надежная защита от вредоносных угроз в комбинации со здравым смыслом должны предотвратить атаку.
Пользователи и администраторы Windows могут проверить установку OneDrive на ПК с Windows, чтобы узнать, не был ли вредоносный DLL-файл уже установлен в системе. Для этого откройте расположение %LocalAppData%\Microsoft\OneDrive\ в Проводнике и поищите файл secur.dll в каталоге OneDrive.
Угрозы безопасности
• Поддельный домен активации Windows распространял вредоносный код через PowerShell
• Отчет Digitain: ChatGPT Atlas, Google Chrome и Vivaldi — одни из худших браузеров с точки зрения конфиденциальности
• Запуск современного вредоносного ПО на Windows XP – эксперимент
• Google закроет функцию отчетов об утечках в даркнете в январе 2026 года
• Вредоносное ПО Cellik для Android создает зараженные версии приложений из Google Play
• Apple устранила две уязвимости нулевого дня, которые использовались в таргетированных атаках