OXLOADER-malware
Cybersikkerhedsforskere har afdækket en ny malwarekampagne, betegnet REF8372, der anvender en hidtil udokumenteret malware-loader kendt som OXLOADER til at implementere den informationsstjælende malware CastleStealer.
Operationen begynder med ondsindede Google-annoncer, der er designet til at lokke ofre, der søger efter populær software. Analyse tyder på, at trusselsaktørerne bag kampagnen sandsynligvis er russisktalende og økonomisk motiverede. Denne vurdering er baseret på malwarens bevidste udelukkelse af systemer placeret i Samfundet af Uafhængige Stater (CIS), en taktik, der ofte bruges af cyberkriminelle grupper, der opererer i regionen.
Selvom kampagnens annoncer blev offentliggjort under det verificerede navn 'ВОЛОДИМИР ТЕРЕЩЕНКО', angiveligt baseret i Ukraine, er det stadig uklart, om denne identitet tilhører operatørerne selv eller repræsenterer en kompromitteret, købt eller fabrikeret konto. Google fjernede annoncørkontoen og tilhørende kampagner den 14. maj 2026.
Indholdsfortegnelse
Søgemaskinemanipulation fører ofre til falske softwaresider
Infektionskæden udløses, når brugere søger efter termer som 'lts-version af node.js' via søgemaskiner som Google. Ofrene omdirigeres via sponsorerede resultater til en forfalsket hjemmeside, node-js.prentiva99.info, der udgiver sig for at være en legitim softwarekilde.
Brugere, der interagerer med den svigagtige hjemmeside, bliver bedt om at downloade et batchscript, der hostes på Storj, en decentraliseret og open source cloud-lagringsplatform. Misbruget af legitime tjenester som Storj fremhæver en voksende tendens blandt trusselsaktører, der i stigende grad er afhængige af betroede platforme for at omgå domæneomdømme og sikkerhedsfiltreringsmekanismer.
Flertrinsinfektionskæde skjuler ondsindet aktivitet
Udførelse af den downloadede batchfil viser en falsk installationsguide, hvilket skaber illusionen af en legitim softwareopsætning, mens den i hemmelighed downloader næste-trins nyttelast, OXLOADER, fra Storj. Malwaren hentes via en PowerShell-kommando og startes med parameteren -Verb RunAs, hvilket genererer en Windows User Account Control (UAC)-prompt.
Angrebet bruger efterfølgende DLL-sideloading-teknikker til at udføre et ondsindet dynamisk linkbibliotek, som dekrypterer og starter den endelige nyttelast, CastleStealer.
Avancerede undvigelsesteknikker øger udfordringerne ved opdagelse
OXLOADER inkorporerer adskillige sofistikerede teknikker, der er specielt designet til at hindre analyse og undgå opdagelse:
- Flere obfuskationslag, herunder kontrolflow-udfladning, uigennemsigtige prædikater og blandede boolske-aritmetiske teknikker.
Disse funktioner demonstrerer en bevidst og velgennemtænkt tilgang til at undgå både statiske og dynamiske detektionsmekanismer.
CastleStealers voksende tilstedeværelse i cyberkriminalitetsoperationer
CastleStealer er en .NET-baseret malware-familie, der stjæler information, og som for nylig er optrådt i yderligere kampagner. Den blev tidligere distribueret sammen med CastleLoader gennem et ClickFix-lignende social engineering-lokkemiddel, der udgav sig for at være et gratis billedredigeringsprogram i en operation kendt som BackgroundFix. CastleLoader er blevet forbundet med trusselsaktivitetsklyngen, der spores som GrayBravo.
Tidlig trussel med betydeligt potentiale
Selvom OXLOADER tilsyneladende er i de tidlige stadier af operationel implementering, kræver dens tekniske kompleksitet nøje opmærksomhed fra forsvarerne. Flere karakteristika indikerer betydelige investeringer fra udviklernes side:
- Omfattende kodeforsløring og beskyttelse mod virtuelle maskiner.
- Brug af godartet udseende kode til at skjule ondsindede binære filer og unikke nyttelaststagingteknikker.
Disse designvalg har allerede vist sig effektive og har gjort det muligt for OXLOADER at opnå lave detektionsrater på tværs af statiske scanningsmotorer og automatiserede detonationsmiljøer. Som følge heraf drager malwaren i øjeblikket fordel af et værdifuldt operationelt vindue, før der udvikles udbredte detektionssignaturer og modforanstaltninger.