OXLOADER Зловреден софтуер

Изследователи по киберсигурност откриха нова кампания за злонамерен софтуер, обозначена като REF8372, която използва недокументиран досега зареждащ софтуер, известен като OXLOADER, за да внедри зловредния софтуер за кражба на информация CastleStealer.

Операцията започва със злонамерени реклами в Google, предназначени да привлекат жертви, търсещи популярен софтуер. Анализът показва, че злонамерените лица, стоящи зад кампанията, вероятно са рускоезични и финансово мотивирани. Тази оценка се основава на умишленото изключване от зловредния софтуер на системи, разположени в Общността на независимите държави (ОНД), тактика, често използвана от киберпрестъпни групи, действащи в региона.

Въпреки че рекламите на кампанията са публикувани под потвърденото име „ВОЛОДИМИР ТЕРЕЩЕНКО“, за което се твърди, че е базирано в Украйна, остава неясно дали тази самоличност принадлежи на самите оператори или представлява компрометиран, закупен или измислен акаунт. Google премахна акаунта на рекламодателя и свързаните с него кампании на 14 май 2026 г.

Манипулацията с търсачките води жертвите към фалшиви сайтове за софтуер

Веригата на заразяване се задейства, когато потребителите търсят термини като „lts версия на node.js“ чрез търсачки като Google. Жертвите биват пренасочвани чрез спонсорирани резултати към фалшив уебсайт, node-js.prentiva99.info, маскиран като легитимен софтуерен ресурс.

Потребителите, взаимодействащи с измамния уебсайт, са подканени да изтеглят пакетен скрипт, хостван на Storj, децентрализирана платформа за съхранение в облак с отворен код. Злоупотребата с легитимни услуги като Storj подчертава нарастващата тенденция сред злонамерените лица, които все повече разчитат на надеждни платформи, за да заобиколят механизмите за филтриране на репутацията на домейни и сигурността.

Многоетапната верига на заразяване прикрива злонамерена активност

Изпълнението на изтегления пакетен файл показва фалшив инсталационен съветник, създавайки илюзията за легитимна инсталация на софтуер, докато тайно изтегля следващия полезен товар, OXLOADER, от Storj. Зловредният софтуер се извлича чрез команда PowerShell и се стартира с параметъра -Verb RunAs, генерирайки подканата за контрол на потребителските акаунти (UAC) на Windows.

Впоследствие атаката използва техники за странично зареждане на DLL файлове, за да изпълни злонамерена динамична библиотека, която декриптира и стартира крайния полезен товар, CastleStealer.

Усъвършенстваните техники за избягване увеличават предизвикателствата пред откриването

OXLOADER включва няколко сложни техники, специално разработени за възпрепятстване на анализа и избягване на откриване:

  • Множество слоеве за обфускация, включително изравняване на контролния поток, непрозрачни предикати и смесени булево-аритметични техники.
  • Самомодифициращи се рутини за декриптиране, злоупотреба със секцията .reloc на Windows за поставяне на шел код и механизми против пясъчник, които предотвратяват изпълнението във виртуализирани среди за анализ.

Тези възможности демонстрират целенасочен и добре разработен подход за избягване както на статични, така и на динамични механизми за откриване.

Нарастващото присъствие на CastleStealer в операциите по киберпрестъпления

CastleStealer е семейство зловреден софтуер за кражба на информация, базирано на .NET, което наскоро се появи в допълнителни кампании. Преди това се разпространяваше заедно с CastleLoader чрез социално-инженерна примамка в стил ClickFix, представяща се за безплатно приложение за редактиране на изображения в операция, известна като BackgroundFix. CastleLoader е свързан с клъстера от заплахи, проследяван като GrayBravo.

Заплаха в ранен етап със значителен потенциал

Въпреки че OXLOADER изглежда е в ранните етапи на оперативно внедряване, неговата техническа сложност заслужава внимателно внимание от страна на защитниците. Няколко характеристики показват значителни инвестиции от страна на неговите разработчици:

  • Обширно обфускация на код и защита срещу виртуални машини.
  • Използване на доброкачествен изглеждащ код за прикриване на злонамерени двоични файлове и уникални техники за поставяне на полезен товар.

Тези дизайнерски решения вече са доказали своята ефективност, позволявайки на OXLOADER да постигне ниски нива на откриване в статични сканиращи системи и автоматизирани детонационни среди. В резултат на това зловредният софтуер в момента се възползва от ценен оперативен прозорец, преди да бъдат разработени широко разпространени сигнатури за откриване и контрамерки.

Зареждане...