Uhatietokanta Haittaohjelma OXLOADER-haittaohjelma

OXLOADER-haittaohjelma

Kyberturvallisuustutkijat ovat paljastaneet uuden haittaohjelmakampanjan, jonka nimi on REF8372. Se käyttää aiemmin dokumentoimatonta OXLOADER-nimistä haittaohjelmien lataajaa tietoja varastavan CastleStealerin levittämiseen.

Operaatio alkaa haitallisilla Google-mainoksilla, joiden tarkoituksena on houkutella uhreja etsimään suosittuja ohjelmistoja. Analyysi viittaa siihen, että kampanjan takana olevat uhkatoimijat ovat todennäköisesti venäjänkielisiä ja taloudellisesti motivoituneita. Tämä arvio perustuu haittaohjelman tarkoitukselliseen sulkemiseen pois Itsenäisten valtioiden yhteisön (IVY) alueella sijaitsevat järjestelmät, mikä on taktiikka, jota alueella toimivat kyberrikollisryhmät käyttävät usein.

Vaikka kampanjan mainokset julkaistiin varmennetulla nimellä 'ВОЛОДИМИР ТЕРЕЩЕНКО', jonka väitetään olevan Ukrainassa, on edelleen epäselvää, kuuluuko tämä identiteetti operaattoreille itselleen vai edustaako se vaarantunutta, ostettua tai keksittyä tiliä. Google poisti mainostajatilin ja siihen liittyvät kampanjat 14. toukokuuta 2026.

Hakukoneiden manipulointi johtaa uhrit väärennetyille ohjelmistosivustoille

Tartuntaketju käynnistyy, kun käyttäjät hakevat hakukoneilla, kuten Googlella, termeillä kuten 'node.js:n lts-versio'. Uhrit ohjataan sponsoroitujen hakutulosten kautta väärennetylle verkkosivustolle, node-js.prentiva99.info, joka naamioituu lailliseksi ohjelmistoresurssiksi.

Huijaussivuston kanssa vuorovaikutuksessa olevia käyttäjiä pyydetään lataamaan Storjilla, hajautetulla ja avoimen lähdekoodin pilvitallennusalustalla, ylläpidetty eräajokomentosarja. Laillisten palveluiden, kuten Storjin, väärinkäyttö korostaa kasvavaa trendiä uhkatoimijoiden keskuudessa, jotka yhä enemmän luottavat luotettaviin alustoihin ohittaakseen verkkotunnusten maineen ja tietoturvan suodatusmekanismit.

Monivaiheinen tartuntaketju peittää haitallisen toiminnan

Ladatun eräajotiedoston suorittaminen näyttää tekaistun asennustoiminnon, joka luo illuusion laillisesta ohjelmistoasennuksesta samalla, kun seuraavan vaiheen hyötykuorma, OXLOADER, ladataan salaa Storjista. Haittaohjelma noudetaan PowerShell-komennolla ja käynnistetään -Verb RunAs-parametrilla, mikä luo Windowsin käyttäjätilien valvonnan (UAC) kehotteen.

Hyökkäys käyttää myöhemmin DLL-sivulataustekniikoita haitallisen dynaamisen linkkikirjaston suorittamiseen, joka purkaa salauksen ja käynnistää lopullisen hyötykuorman, CastleStealerin.

Edistyneet väistötekniikat lisäävät havaitsemishaasteita

OXLOADER sisältää useita hienostuneita tekniikoita, jotka on erityisesti suunniteltu estämään analyysiä ja välttämään havaitsemista:

  • Useita hämärrystasoja, mukaan lukien ohjausvirran litistäminen, läpinäkymättömät predikaatit ja sekoitetut Boolen ja aritmeettiset tekniikat.
  • Itseään muokkaavat salauksenpurkurutiinit, Windowsin .reloc-osan väärinkäyttö komentotulkkikoodin testaamiseen ja hiekkalaatikon vastaiset mekanismit, jotka estävät suorittamisen virtualisoiduissa analyysiympäristöissä.

Nämä ominaisuudet osoittavat harkitun ja hyvin suunnitellun lähestymistavan sekä staattisten että dynaamisten havaitsemismekanismien välttämiseen.

CastleStealerin kasvava läsnäolo kyberrikollisuuden torjunnassa

CastleStealer on .NET-pohjainen tietoja varastava haittaohjelmaperhe, joka on viime aikoina esiintynyt useissa kampanjoissa. Sitä levitettiin aiemmin CastleLoaderin rinnalla ClickFix-tyylisen sosiaalisen manipuloinnin houkuttimen kautta, joka tekeytyi ilmaiseksi kuvankäsittelysovellukseksi BackgroundFix-nimisessä operaatiossa. CastleLoader on yhdistetty GrayBravo-nimiseen uhkatoimintaryppääseen.

Varhaisen vaiheen uhka, jolla on merkittävä potentiaali

Vaikka OXLOADER näyttää olevan operatiivisen käyttöönoton alkuvaiheessa, sen tekninen hienostuneisuus ansaitsee puolustajien tarkkaa huomiota. Useat ominaisuudet viittaavat kehittäjien huomattavaan panostukseen:

  • Laaja koodin hämärrys ja virtuaalikoneiden vastainen suojaus.
  • Hyväntahtoisen näköisen koodin käyttö haitallisten binäärien ja ainutlaatuisten hyötykuormien valmistelutekniikoiden naamiointiin.

Nämä suunnitteluvalinnat ovat jo osoittautuneet tehokkaiksi, ja niiden avulla OXLOADER on saavuttanut alhaiset tunnistusprosentit sekä staattisissa skannausmoottoreissa että automatisoiduissa räjäytysympäristöissä. Tämän seurauksena haittaohjelmalla on tällä hetkellä arvokas toiminta-aika ennen kuin laajalle levinneitä tunnistusmalleja ja vastatoimia kehitetään.

Ladataan...