بدافزار OXLOADER
محققان امنیت سایبری یک کمپین بدافزاری جدید با نام REF8372 را کشف کردهاند که از یک بارگذار بدافزار که قبلاً مستند نشده بود و OXLOADER نام دارد، برای استقرار بدافزار سرقت اطلاعات CastleStealer استفاده میکند.
این عملیات با تبلیغات مخرب گوگل آغاز میشود که برای فریب قربانیانی که به دنبال نرمافزارهای محبوب هستند، طراحی شده است. تجزیه و تحلیل نشان میدهد که عوامل تهدید پشت این کمپین احتمالاً روس زبان هستند و انگیزه مالی دارند. این ارزیابی بر اساس حذف عمدی سیستمهای واقع در کشورهای مستقل مشترک المنافع (CIS) توسط این بدافزار است، تاکتیکی که اغلب توسط گروههای مجرمان سایبری فعال در منطقه استفاده میشود.
اگرچه تبلیغات این کمپین با نام تأیید شده «ВОЛОДИМИР ТЕРЕЩЕНКО» که ظاهراً در اوکراین مستقر است، منتشر شده است، اما هنوز مشخص نیست که آیا این هویت متعلق به خود اپراتورها است یا نشاندهنده یک حساب کاربری هک شده، خریداری شده یا جعلی است. گوگل حساب تبلیغکننده و کمپینهای مرتبط با آن را در ۱۴ مه ۲۰۲۶ حذف کرد.
فهرست مطالب
دستکاری موتور جستجو، قربانیان را به سایتهای نرمافزاری جعلی هدایت میکند
زنجیره آلودگی زمانی فعال میشود که کاربران عباراتی مانند «lts version of node.js» را در موتورهای جستجو مانند گوگل جستجو میکنند. قربانیان از طریق نتایج تبلیغاتی به یک وبسایت جعلی، node-js.prentiva99.info، که خود را به عنوان یک منبع نرمافزاری قانونی جا میزند، هدایت میشوند.
کاربرانی که با وبسایت جعلی تعامل دارند، وادار به دانلود یک اسکریپت دستهای میزبانیشده در Storj، یک پلتفرم ذخیرهسازی ابری غیرمتمرکز و متنباز، میشوند. سوءاستفاده از سرویسهای قانونی مانند Storj، روند رو به رشدی را در میان مهاجمان برجسته میکند که بهطور فزایندهای برای دور زدن سازوکارهای اعتبار دامنه و فیلترینگ امنیتی به پلتفرمهای قابل اعتماد متکی هستند.
زنجیره آلودگی چند مرحلهای، فعالیتهای مخرب را پنهان میکند
اجرای فایل دستهای دانلود شده، یک ویزارد نصب جعلی را نمایش میدهد و توهم راهاندازی یک نرمافزار قانونی را ایجاد میکند، در حالی که به طور مخفیانه بار داده مرحله بعدی، OXLOADER، را از Storj دانلود میکند. این بدافزار از طریق یک دستور PowerShell بازیابی شده و با پارامتر -Verb RunAs اجرا میشود و یک اعلان کنترل حساب کاربری ویندوز (UAC) ایجاد میکند.
این حمله متعاقباً از تکنیکهای بارگذاری جانبی DLL برای اجرای یک کتابخانهی لینک پویای مخرب استفاده میکند که کد مخرب نهایی، CastleStealer، را رمزگشایی و اجرا میکند.
تکنیکهای پیشرفتهی گریز، چالشهای تشخیص را افزایش میدهند
OXLOADER شامل چندین تکنیک پیچیده است که به طور خاص برای جلوگیری از تجزیه و تحلیل و جلوگیری از تشخیص طراحی شدهاند:
- لایههای مبهمسازی چندگانه، شامل مسطحسازی جریان کنترل، گزارههای مبهم و تکنیکهای ترکیبی بولی-حسابی.
این قابلیتها، رویکردی آگاهانه و مهندسیشده را برای اجتناب از مکانیسمهای تشخیص ایستا و پویا نشان میدهند.
حضور رو به رشد CastleStealer در عملیات جرایم سایبری
CastleStealer یک خانواده بدافزار سرقت اطلاعات مبتنی بر .NET است که اخیراً در کمپینهای دیگری ظاهر شده است. این بدافزار قبلاً در کنار CastleLoader از طریق یک فریب مهندسی اجتماعی به سبک ClickFix که به عنوان یک برنامه ویرایش تصویر رایگان در عملیاتی به نام BackgroundFix معرفی میشد، توزیع میشد. CastleLoader به خوشه فعالیت تهدیدی که با نام GrayBravo ردیابی میشود، مرتبط دانسته شده است.
تهدید در مراحل اولیه با پتانسیل قابل توجه
اگرچه به نظر میرسد OXLOADER در مراحل اولیه استقرار عملیاتی است، اما پیچیدگی فنی آن توجه دقیق مدافعان را میطلبد. چندین ویژگی نشاندهنده سرمایهگذاری قابل توجه توسعهدهندگان آن است:
- مبهمسازی گسترده کد و محافظتهای ضد ماشین مجازی.
- استفاده از کد به ظاهر بیخطر برای پنهان کردن فایلهای باینری مخرب و تکنیکهای منحصر به فرد مرحلهبندی بار داده.
این انتخابهای طراحی قبلاً مؤثر بودهاند و OXLOADER را قادر ساختهاند تا به نرخ تشخیص پایینی در موتورهای اسکن ایستا و محیطهای انفجار خودکار دست یابد. در نتیجه، این بدافزار در حال حاضر از یک بازه عملیاتی ارزشمند قبل از توسعه امضاهای شناسایی گسترده و اقدامات متقابل بهرهمند میشود.