بدافزار OXLOADER

محققان امنیت سایبری یک کمپین بدافزاری جدید با نام REF8372 را کشف کرده‌اند که از یک بارگذار بدافزار که قبلاً مستند نشده بود و OXLOADER نام دارد، برای استقرار بدافزار سرقت اطلاعات CastleStealer استفاده می‌کند.

این عملیات با تبلیغات مخرب گوگل آغاز می‌شود که برای فریب قربانیانی که به دنبال نرم‌افزارهای محبوب هستند، طراحی شده است. تجزیه و تحلیل نشان می‌دهد که عوامل تهدید پشت این کمپین احتمالاً روس زبان هستند و انگیزه مالی دارند. این ارزیابی بر اساس حذف عمدی سیستم‌های واقع در کشورهای مستقل مشترک المنافع (CIS) توسط این بدافزار است، تاکتیکی که اغلب توسط گروه‌های مجرمان سایبری فعال در منطقه استفاده می‌شود.

اگرچه تبلیغات این کمپین با نام تأیید شده «ВОЛОДИМИР ТЕРЕЩЕНКО» که ظاهراً در اوکراین مستقر است، منتشر شده است، اما هنوز مشخص نیست که آیا این هویت متعلق به خود اپراتورها است یا نشان‌دهنده یک حساب کاربری هک شده، خریداری شده یا جعلی است. گوگل حساب تبلیغ‌کننده و کمپین‌های مرتبط با آن را در ۱۴ مه ۲۰۲۶ حذف کرد.

دستکاری موتور جستجو، قربانیان را به سایت‌های نرم‌افزاری جعلی هدایت می‌کند

زنجیره آلودگی زمانی فعال می‌شود که کاربران عباراتی مانند «lts version of node.js» را در موتورهای جستجو مانند گوگل جستجو می‌کنند. قربانیان از طریق نتایج تبلیغاتی به یک وب‌سایت جعلی، node-js.prentiva99.info، که خود را به عنوان یک منبع نرم‌افزاری قانونی جا می‌زند، هدایت می‌شوند.

کاربرانی که با وب‌سایت جعلی تعامل دارند، وادار به دانلود یک اسکریپت دسته‌ای میزبانی‌شده در Storj، یک پلتفرم ذخیره‌سازی ابری غیرمتمرکز و متن‌باز، می‌شوند. سوءاستفاده از سرویس‌های قانونی مانند Storj، روند رو به رشدی را در میان مهاجمان برجسته می‌کند که به‌طور فزاینده‌ای برای دور زدن سازوکارهای اعتبار دامنه و فیلترینگ امنیتی به پلتفرم‌های قابل اعتماد متکی هستند.

زنجیره آلودگی چند مرحله‌ای، فعالیت‌های مخرب را پنهان می‌کند

اجرای فایل دسته‌ای دانلود شده، یک ویزارد نصب جعلی را نمایش می‌دهد و توهم راه‌اندازی یک نرم‌افزار قانونی را ایجاد می‌کند، در حالی که به طور مخفیانه بار داده مرحله بعدی، OXLOADER، را از Storj دانلود می‌کند. این بدافزار از طریق یک دستور PowerShell بازیابی شده و با پارامتر -Verb RunAs اجرا می‌شود و یک اعلان کنترل حساب کاربری ویندوز (UAC) ایجاد می‌کند.

این حمله متعاقباً از تکنیک‌های بارگذاری جانبی DLL برای اجرای یک کتابخانه‌ی لینک پویای مخرب استفاده می‌کند که کد مخرب نهایی، CastleStealer، را رمزگشایی و اجرا می‌کند.

تکنیک‌های پیشرفته‌ی گریز، چالش‌های تشخیص را افزایش می‌دهند

OXLOADER شامل چندین تکنیک پیچیده است که به طور خاص برای جلوگیری از تجزیه و تحلیل و جلوگیری از تشخیص طراحی شده‌اند:

  • لایه‌های مبهم‌سازی چندگانه، شامل مسطح‌سازی جریان کنترل، گزاره‌های مبهم و تکنیک‌های ترکیبی بولی-حسابی.
  • روال‌های رمزگشایی خود-تغییردهنده، سوءاستفاده از بخش ‎.reloc‎ ویندوز برای مرحله‌بندی shellcode، و سازوکارهای ضد sandbox که از اجرا در محیط‌های تحلیل مجازی جلوگیری می‌کنند.
  • این قابلیت‌ها، رویکردی آگاهانه و مهندسی‌شده را برای اجتناب از مکانیسم‌های تشخیص ایستا و پویا نشان می‌دهند.

    حضور رو به رشد CastleStealer در عملیات جرایم سایبری

    CastleStealer یک خانواده بدافزار سرقت اطلاعات مبتنی بر .NET است که اخیراً در کمپین‌های دیگری ظاهر شده است. این بدافزار قبلاً در کنار CastleLoader از طریق یک فریب مهندسی اجتماعی به سبک ClickFix که به عنوان یک برنامه ویرایش تصویر رایگان در عملیاتی به نام BackgroundFix معرفی می‌شد، توزیع می‌شد. CastleLoader به خوشه فعالیت تهدیدی که با نام GrayBravo ردیابی می‌شود، مرتبط دانسته شده است.

    تهدید در مراحل اولیه با پتانسیل قابل توجه

    اگرچه به نظر می‌رسد OXLOADER در مراحل اولیه استقرار عملیاتی است، اما پیچیدگی فنی آن توجه دقیق مدافعان را می‌طلبد. چندین ویژگی نشان‌دهنده سرمایه‌گذاری قابل توجه توسعه‌دهندگان آن است:

    • مبهم‌سازی گسترده کد و محافظت‌های ضد ماشین مجازی.
    • استفاده از کد به ظاهر بی‌خطر برای پنهان کردن فایل‌های باینری مخرب و تکنیک‌های منحصر به فرد مرحله‌بندی بار داده.

    این انتخاب‌های طراحی قبلاً مؤثر بوده‌اند و OXLOADER را قادر ساخته‌اند تا به نرخ تشخیص پایینی در موتورهای اسکن ایستا و محیط‌های انفجار خودکار دست یابد. در نتیجه، این بدافزار در حال حاضر از یک بازه عملیاتی ارزشمند قبل از توسعه امضاهای شناسایی گسترده و اقدامات متقابل بهره‌مند می‌شود.

    بارگذاری...