Подмена DLL (DLL Hijacking) — довольно частое явление в Windows. Windows использует систему приоритетов для определения места загрузки DLL-файла, если приложение не указывает полный путь. Атаки с перехватом DLL эксплуатируют эту систему за счет размещения вредоносных файлов в месте с более высоким приоритетом. Затем программа загружает вредоносную DLL вместо легитимного DLL-файла.
В случае с вредоносной кампанией, нацеленной на OneDrive, злоумышленники используют эту концепцию для внедрения вредоносного DLL-файла в пользовательскую папку в системе. Фальшивый файл secure32.dll записывается по пути: %LocalAppData%\Microsoft\OneDrive\ процессом без повышенных прав. Затем вредоносная библиотека динамической компоновки загружается двумя процессами OneDrive: OneDrive.exe и OneDriveStandaloneUpdater.exe.
Процесс обновления OneDrive запускается один раз в день, что гарантирует загрузку вредоносного ПО в систему, если оно не будет обнаружено антивирусом. Злоумышленники также добавляют OneDrive.exe в автозагрузку, чтобы «сделать постоянство угрозы еще более надежным».
При первой загрузке поддельной DLL на компьютер жертвы загружается ПО для майнинга криптовалюты.
В отчете сообщается:
После загрузки в один из процессов OneDrive поддельная библиотека secur32.dll загружает программное обеспечение для майнинга криптовалюты с открытым исходным кодом и внедряет его в легитимные процессы Windows.
Xотя в настоящее время атака ограничивается майнингом криптовалюты, BitDefender считает, что у злоумышленников есть возможность переключиться на другие виды вредоносной активности, включая развертывание программ-вымогателей или шпионских программ.
Антивирусный вендор рекомендует устанавливать OneDrive для всего компьютера, а не для отдельного пользователя, чтобы избежать уязвимости, связанной с подменой DLL. Злоумышленникам действительно нужно успешно проникнуть на ПК с Windows, чтобы сохранить вредоносный DLL-файл в пользовательском каталоге OneDrive. Надежная защита от вредоносных угроз в комбинации со здравым смыслом должны предотвратить атаку.
Пользователи и администраторы Windows могут проверить установку OneDrive на ПК с Windows, чтобы узнать, не был ли вредоносный DLL-файл уже установлен в системе. Для этого откройте расположение %LocalAppData%\Microsoft\OneDrive\ в Проводнике и поищите файл secur.dll в каталоге OneDrive.
Угрозы безопасности
• Apple устранила две уязвимости нулевого дня, которые использовались в таргетированных атаках
• ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак