Base de dades d'amenaces Programari maliciós Programari maliciós OXLOADER

Programari maliciós OXLOADER

Investigadors de ciberseguretat han descobert una nova campanya de programari maliciós, denominada REF8372, que utilitza un carregador de programari maliciós prèviament indocumentat conegut com a OXLOADER per implementar el programari maliciós que roba informació CastleStealer.

L'operació comença amb anuncis maliciosos de Google dissenyats per atraure les víctimes que busquen programari popular. L'anàlisi suggereix que els actors amenaçadors darrere de la campanya probablement parlen rus i tenen motivacions financeres. Aquesta avaluació es basa en l'exclusió deliberada del programari maliciós dels sistemes ubicats dins de la Comunitat d'Estats Independents (CEI), una tàctica utilitzada amb freqüència pels grups ciberdelinqüents que operen a la regió.

Tot i que els anuncis de la campanya es van publicar amb el nom verificat "ВОЛОДИМИР ТЕРЕЩЕНКО", presumptament amb seu a Ucraïna, no queda clar si aquesta identitat pertany als propis operadors o representa un compte compromès, comprat o fabricat. Google va eliminar el compte de l'anunciant i les campanyes associades el 14 de maig de 2026.

La manipulació dels motors de cerca porta les víctimes a llocs de programari falsos

La cadena d'infecció s'activa quan els usuaris busquen termes com ara "versió lts de node.js" a través de motors de cerca com Google. Les víctimes són redirigides a través de resultats patrocinats a un lloc web falsificat, node-js.prentiva99.info, que es fa passar per un recurs de programari legítim.

Als usuaris que interactuen amb el lloc web fraudulent se'ls demana que descarreguin un script per lots allotjat a Storj, una plataforma d'emmagatzematge al núvol descentralitzada i de codi obert. L'abús de serveis legítims com ara Storj posa de manifest una tendència creixent entre els actors d'amenaces, que cada cop confien més en plataformes de confiança per eludir els mecanismes de filtratge de seguretat i reputació de domini.

La cadena d’infecció multietapa amaga activitat maliciosa

L'execució del fitxer per lots descarregat mostra un assistent d'instal·lació fals, creant la il·lusió d'una configuració de programari legítima mentre es descarrega de manera encoberta la càrrega útil de la següent etapa, OXLOADER, des de Storj. El programari maliciós es recupera mitjançant una ordre de PowerShell i s'inicia amb el paràmetre -Verb RunAs, generant una indicació de control de comptes d'usuari de Windows (UAC).

L'atac utilitza posteriorment tècniques de càrrega lateral de DLL per executar una biblioteca d'enllaços dinàmics maliciosa, que desxifra i llança la càrrega útil final, CastleStealer.

Les tècniques d’evasió avançades augmenten els reptes de detecció

OXLOADER incorpora diverses tècniques sofisticades dissenyades específicament per dificultar l'anàlisi i evadir la detecció:

  • Múltiples capes d'ofuscació, incloent-hi l'aplanament del flux de control, predicats opacs i tècniques booleanes-aritmètiques mixtes.
  • Rutines de desxifratge automodificables, abús de la secció .reloc de Windows per a la posada en escena de shellcode i mecanismes anti-sandbox que impedeixen l'execució en entorns d'anàlisi virtualitzats.

Aquestes capacitats demostren un enfocament deliberat i ben dissenyat per evitar mecanismes de detecció tant estàtics com dinàmics.

La creixent presència de CastleStealer en operacions de ciberdelinqüència

CastleStealer és una família de programari maliciós basat en .NET que roba informació i que recentment ha aparegut en campanyes addicionals. Anteriorment es va distribuir juntament amb CastleLoader a través d'un esquer d'enginyeria social a l'estil ClickFix que es feia passar per una aplicació gratuïta d'edició d'imatges en una operació coneguda com a BackgroundFix. CastleLoader s'ha vinculat al clúster d'activitat d'amenaces rastrejat com a GrayBravo.

Amenaça en fase inicial amb potencial significatiu

Tot i que OXLOADER sembla estar en les primeres etapes del desplegament operatiu, la seva sofisticació tècnica requereix una atenció especial per part dels defensors. Diverses característiques indiquen una inversió substancial per part dels seus desenvolupadors:

  • Ofuscació de codi extensa i proteccions anti-màquina virtual.
  • Ús de codi d'aspecte benigne per dissimular binaris maliciosos i tècniques úniques de preparació de càrrega útil.

Aquestes opcions de disseny ja han demostrat la seva eficàcia, permetent a OXLOADER aconseguir taxes de detecció baixes en motors d'escaneig estàtics i entorns de detonació automatitzada. Com a resultat, el programari maliciós actualment es beneficia d'una valuosa finestra operativa abans que es desenvolupin signatures de detecció generalitzades i contramesures.

Carregant...