מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של OXLOADER

תוכנה זדונית של OXLOADER

חוקרי אבטחת סייבר חשפו קמפיין תוכנות זדוניות חדש, שסמוי REF8372, המשתמש בטוען תוכנות זדוניות שלא תועד בעבר, המכונה OXLOADER, כדי לפרוס את התוכנה הזדונית CastleStealer, הגונבת מידע.

המבצע מתחיל בפרסומות זדוניות של גוגל שנועדו לפתות קורבנות המחפשים תוכנות פופולריות. ניתוח מצביע על כך שגורמי האיום העומדים מאחורי הקמפיין הם ככל הנראה דוברי רוסית ובעלי מוטיבציה כלכלית. הערכה זו מבוססת על ההדרה המכוונת של מערכות הממוקמות בתוך חבר העמים של מדינות עצמאיות (CIS) על ידי התוכנה הזדונית, טקטיקה בה משתמשים לעתים קרובות קבוצות פושעי סייבר הפועלות באזור.

למרות שפרסומות הקמפיין פורסמו תחת השם המאומת 'ВОЛОДИМИР ТЕРЕЩЕНКО', שלכאורה מבוסס באוקראינה, עדיין לא ברור האם זהות זו שייכת למפעילים עצמם או מייצגת חשבון שנפרץ, נרכש או מפוברק. גוגל הסירה את חשבון המפרסם ואת הקמפיינים הקשורים אליו ב-14 במאי 2026.

מניפולציה במנועי חיפוש מובילה קורבנות לאתרי תוכנה מזויפים

שרשרת ההדבקה מופעלת כאשר משתמשים מחפשים מונחים כגון 'גרסת lts של node.js' דרך מנועי חיפוש כמו גוגל. הקורבנות מופנים דרך תוצאות ממומנות לאתר מזויף, node-js.prentiva99.info, המתחזה למשאב תוכנה לגיטימי.

משתמשים המקיימים אינטראקציה עם אתר האינטרנט ההונאה מתבקשים להוריד סקריפט אצווה המתארח ב-Storj, פלטפורמת אחסון ענן מבוזרת וקוד פתוח. ניצול לרעה של שירותים לגיטימיים כמו Storj מדגיש מגמה הולכת וגוברת בקרב גורמי איום, אשר מסתמכים יותר ויותר על פלטפורמות מהימנות כדי לעקוף מנגנוני סינון מוניטין ואבטחה של הדומיין.

שרשרת הדבקה רב-שלבית מסתירה פעילות זדונית

הרצת קובץ האצווה שהורד מציגה אשף התקנה מזויף, ויוצרת אשליה של הגדרת תוכנה לגיטימית תוך הורדה חשאית של המטען של השלב הבא, OXLOADER, מ-Storj. התוכנה הזדונית מאוחזרת באמצעות פקודת PowerShell ומופעלת עם הפרמטר -Verb RunAs, מה שיוצר בקשת בקרת חשבון משתמש (UAC) של Windows.

לאחר מכן, ההתקפה משתמשת בטכניקות טעינה צדדית של DLL כדי להפעיל ספריית קישורים דינמיים זדונית, אשר מפענחת ומפעילה את המטען הסופי, CastleStealer.

טכניקות התחמקות מתקדמות מגבירות את אתגרי הגילוי

OXLOADER משלבת מספר טכניקות מתוחכמות שתוכננו במיוחד כדי להפריע לניתוח ולהימנע מגילוי:

  • שכבות ערפול מרובות, כולל שיטוח זרימת בקרה, נשואים אטומים וטכניקות בוליאניות-אריתמטיות מעורבות.
  • שגרות פענוח בעלות שינוי עצמי, ניצול לרעה של מקטע .reloc של Windows לצורך יצירת קוד מעטפת (shellcode staging), ומנגנוני אנטי-ארגז חול המונעים ביצוע בסביבות ניתוח וירטואליות.
  • יכולות אלו מדגימות גישה מכוונת ומהונדסת היטב להימנעות ממנגנוני גילוי סטטיים ודינמיים כאחד.

    הנוכחות הגוברת של CastleStealer בפעילות פשעי סייבר

    CastleStealer היא משפחת תוכנות זדוניות מבוססות .NET לגניבת מידע, אשר הופיעה לאחרונה בקמפיינים נוספים. היא הופצה בעבר לצד CastleLoader באמצעות פיתיון הנדסה חברתית בסגנון ClickFix שהתחזה לאפליקציית עריכת תמונות חינמית במבצע המכונה BackgroundFix. CastleLoader נקשר לאשכול פעילות האיומים שעוקב אחריו בשם GrayBravo.

    איום בשלב מוקדם עם פוטנציאל משמעותי

    למרות שנראה כי OXLOADER נמצא בשלבים מוקדמים של פריסה מבצעית, התחכום הטכני שלו מצדיק תשומת לב רבה מצד המגנים. מספר מאפיינים מצביעים על השקעה משמעותית מצד מפתחיו:

    • ערפול קוד נרחב והגנות נגד מכונות וירטואליות.
    • שימוש בקוד שנראה שפיר כדי להסוות קבצים בינאריים זדוניים וטכניקות ייחודיות לניהול מטען.

    בחירות עיצוב אלו כבר הוכחו כיעילות, ומאפשרות ל-OXLOADER להשיג שיעורי גילוי נמוכים במנועי סריקה סטטיים ובסביבות פיצוץ אוטומטיות. כתוצאה מכך, התוכנה הזדונית נהנית כיום מחלון תפעולי יקר ערך לפני פיתוח חתימות גילוי נרחבות ואמצעי נגד.

    טוען...