Databáze hrozeb Malware Malware OXLOADER

Malware OXLOADER

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou malwarovou kampaň s označením REF8372, která využívá dříve nezdokumentovaný zavaděč malwaru známý jako OXLOADER k nasazení malwaru CastleStealer, který krade informace.

Operace začíná škodlivými reklamami Google, jejichž cílem je nalákat oběti hledající populární software. Analýza naznačuje, že útočníci stojící za kampaní jsou pravděpodobně rusky mluvící a finančně motivovaní. Toto hodnocení je založeno na úmyslném vylučování systémů nacházejících se ve Společenství nezávislých států (SNS) malwarem, což je taktika, kterou často používají kyberzločinecké skupiny působící v regionu.

Přestože reklamy kampaně byly publikovány pod ověřeným jménem „ВОЛОДИМИР ТЕРЕЩЕНКО“ s údajným sídlem na Ukrajině, zůstává nejasné, zda tato identita patří samotným provozovatelům, nebo zda se jedná o kompromitovaný, zakoupený nebo vykonstruovaný účet. Google 14. května 2026 odstranil účet inzerenta a související kampaně.

Manipulace s vyhledávači vede oběti na falešné softwarové stránky

Řetězec infekce se spustí, když uživatelé vyhledávají výrazy jako „lts verze node.js“ prostřednictvím vyhledávačů, jako je Google. Oběti jsou přesměrovány prostřednictvím sponzorovaných výsledků na padělaný web node-js.prentiva99.info, který se maskuje jako legitimní softwarový zdroj.

Uživatelé interagující s podvodným webem jsou vyzváni ke stažení dávkového skriptu hostovaného na Storj, decentralizované platformě cloudového úložiště s otevřeným zdrojovým kódem. Zneužívání legitimních služeb, jako je Storj, zdůrazňuje rostoucí trend mezi aktéry hrozeb, kteří se stále více spoléhají na důvěryhodné platformy, aby obešli mechanismy filtrování reputace domén a zabezpečení.

Vícestupňový infekční řetězec skrývá škodlivou aktivitu

Spuštění staženého dávkového souboru zobrazí falešného instalačního průvodce, který vytváří iluzi legitimní instalace softwaru, zatímco se ze Storj skrytě stahuje další datový balíček OXLOADER. Malware se načte pomocí příkazu PowerShellu a spustí se s parametrem -Verb RunAs, čímž se vygeneruje výzva Řízení uživatelských účtů systému Windows (UAC).

Útok následně využívá techniky bočního načítání DLL ke spuštění škodlivé dynamicky linkované knihovny, která dešifruje a spustí finální datovou zátěž, CastleStealer.

Pokročilé techniky úniku zvyšují obtíže s detekcí

OXLOADER využívá několik sofistikovaných technik speciálně navržených tak, aby ztížily analýzu a vyhnuly se detekci:

  • Více vrstev zmatku, včetně zploštění řídicího toku, neprůhledných predikátů a smíšených booleovsko-aritmetických technik.
  • Samomodifikující se dešifrovací rutiny, zneužití sekce .reloc systému Windows pro přípravu shellcode a mechanismy anti-sandbox, které brání spuštění ve virtualizovaných analytických prostředích.

Tyto schopnosti demonstrují promyšlený a dobře navržený přístup k zamezení statických i dynamických detekčních mechanismů.

Rostoucí přítomnost CastleStealer v operacích proti kybernetické kriminalitě

CastleStealer je malware z rodiny malwaru založeného na .NET, který krade informace a nedávno se objevil v dalších kampaních. Dříve byl distribuován společně s CastleLoaderem prostřednictvím návnady sociálního inženýrství ve stylu ClickFixu, která se v rámci operace známé jako BackgroundFix vydávala za bezplatnou aplikaci pro úpravu obrázků. CastleLoader byl propojen s klastrem hrozeb sledovaným jako GrayBravo.

Hrozba v rané fázi s významným potenciálem

Ačkoli se zdá, že OXLOADER je v raných fázích operačního nasazení, jeho technická sofistikovanost si zaslouží bedlivou pozornost obránců. Několik charakteristik naznačuje značné investice jeho vývojářů:

  • Rozsáhlé zmatkování kódu a ochrana proti virtuálním strojům.
  • Použití neškodného kódu k maskování škodlivých binárních souborů a unikátních technik stagingování dat.

Tyto konstrukční volby se již ukázaly jako efektivní a umožňují OXLOADERu dosáhnout nízké míry detekce napříč statickými skenovacími enginy a automatizovanými detonačními prostředími. V důsledku toho má malware v současné době cenné operační okno, než budou vyvinuty rozšířené detekční signatury a protiopatření.

Načítání...