OXLOADER pahavara
Küberturvalisuse uurijad on avastanud uue pahavara kampaania, mis kannab tähist REF8372 ja mis kasutab varem dokumenteerimata pahavara laadurit OXLOADER, et juurutada teavet varastavat pahavara CastleStealer.
Operatsioon algab pahatahtlike Google'i reklaamidega, mille eesmärk on meelitada ligi ohvreid, kes otsivad populaarset tarkvara. Analüüs näitab, et kampaania taga olevad ohutegijad on tõenäoliselt venekeelsed ja rahaliselt motiveeritud. See hinnang põhineb pahavara tahtlikul välistamisel süsteemides, mis asuvad Sõltumatute Riikide Ühenduses (SRÜ) – taktika, mida piirkonnas tegutsevad küberkurjategijate rühmitused sageli kasutavad.
Kuigi kampaania reklaamid avaldati kontrollitud nime 'ВОЛОДИМИР ТЕРЕЩЕНКО' all, mis väidetavalt asub Ukrainas, jääb selgusetuks, kas see identiteet kuulub operaatoritele endile või kujutab endast ohustatud, ostetud või väljamõeldud kontot. Google eemaldas reklaamija konto ja sellega seotud kampaaniad 14. mail 2026.
Sisukord
Otsingumootorite manipuleerimine viib ohvrid võltsitud tarkvara saitidele
Nakatumise ahel käivitub siis, kui kasutajad otsivad otsingumootorites (nt Google) selliseid termineid nagu „node.js lts versioon”. Ohvrid suunatakse sponsoreeritud tulemuste kaudu võltsitud veebisaidile node-js.prentiva99.info, mis maskeerub legitiimseks tarkvararessursiks.
Petturliku veebisaidiga suhtlevatel kasutajatel palutakse alla laadida Storj-is majutatud partii skript, mis on detsentraliseeritud ja avatud lähtekoodiga pilvesalvestusplatvorm. Selliste seaduslike teenuste nagu Storj kuritarvitamine toob esile kasvava trendi ohutegelaste seas, kes toetuvad üha enam usaldusväärsetele platvormidele, et mööda hiilida domeeni maine ja turvalisuse filtreerimismehhanismidest.
Mitmeastmeline nakkusahel varjab pahatahtlikku tegevust
Allalaaditud pakkfaili käivitamine kuvab võltsitud installiviisardi, luues illusiooni legitiimsest tarkvarainstallist, samal ajal salaja Storjist järgmise etapi kasulikku koormust OXLOADER alla laadides. Pahavara hangitakse PowerShelli käsuga ja käivitatakse parameetriga -Verb RunAs, genereerides Windowsi kasutajakonto kontrolli (UAC) viiba.
Seejärel kasutab rünnak DLL-i külglaadimise tehnikaid pahatahtliku dünaamilise lingiteegi käivitamiseks, mis dekrüpteerib ja käivitab lõpliku kasuliku koormuse CastleStealeri.
Täiustatud põgenemistehnikad suurendavad avastamise väljakutseid
OXLOADER sisaldab mitmeid keerukaid tehnikaid, mis on spetsiaalselt loodud analüüsi takistamiseks ja avastamise vältimiseks:
- Mitmed hägustamiskihid, sealhulgas juhtimisvoo lamendamine, läbipaistmatud predikaadid ja segatud Boole'i-aritmeetilised tehnikad.
- Ise modifitseerivad dekrüpteerimisrutiinid, Windowsi .reloc-sektsiooni kuritarvitamine kestakoodi ettevalmistamiseks ja liivakastivastased mehhanismid, mis takistavad käivitamist virtualiseeritud analüüsikeskkondades.
Need võimed näitavad teadlikku ja hästi läbimõeldud lähenemisviisi nii staatiliste kui ka dünaamiliste tuvastusmehhanismide vältimiseks.
CastleStealeri kasvav kohalolek küberkuritegevuse operatsioonides
CastleStealer on .NET-põhine infot varastav pahavara perekond, mis on hiljuti ilmunud ka täiendavates kampaaniates. Varem levitati seda koos CastleLoaderiga ClickFixi-tüüpi sotsiaalse manipuleerimise peibutise kaudu, mis teeskles end tasuta pilditöötlusrakendusena operatsioonis nimega BackgroundFix. CastleLoader on seostatud GrayBravo nime all jälgitava ohuklastriga.
Varajases staadiumis olev oht märkimisväärse potentsiaaliga
Kuigi OXLOADER näib olevat operatiivse kasutuselevõtu algstaadiumis, väärib selle tehniline keerukus kaitsjate suurt tähelepanu. Mitmed omadused viitavad arendajate märkimisväärsele investeeringule:
- Ulatuslik koodi hägustamine ja virtuaalmasinate vastased kaitsemeetmed.
- Healoomulise välimusega koodi kasutamine pahatahtlike binaarfailide ja ainulaadsete kasuliku koormuse lavastustehnikate varjamiseks.
Need disainivalikud on juba osutunud tõhusaks, võimaldades OXLOADERil saavutada madalaid tuvastusmäärasid nii staatiliste skaneerimismootorite kui ka automatiseeritud detonatsioonikeskkondade puhul. Selle tulemusena on pahavaral praegu väärtuslik tööperiood enne laialdaste tuvastussignatuuride ja vastumeetmete väljatöötamist.