OXLOADER मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने REF8372 नामक एक नए मैलवेयर अभियान का पता लगाया है, जो CastleStealer नामक सूचना-चोरी करने वाले मैलवेयर को तैनात करने के लिए OXLOADER नामक एक पहले से अज्ञात मैलवेयर लोडर का उपयोग करता है।

यह अभियान लोकप्रिय सॉफ़्टवेयर खोज रहे पीड़ितों को लुभाने के लिए डिज़ाइन किए गए दुर्भावनापूर्ण Google विज्ञापनों से शुरू होता है। विश्लेषण से पता चलता है कि इस अभियान के पीछे के हमलावर संभवतः रूसी भाषी हैं और आर्थिक लाभ के लिए काम कर रहे हैं। यह आकलन स्वतंत्र राज्यों के राष्ट्रमंडल (CIS) में स्थित प्रणालियों को मैलवेयर द्वारा जानबूझकर बाहर रखे जाने पर आधारित है, जो इस क्षेत्र में सक्रिय साइबर अपराधी समूहों द्वारा अक्सर इस्तेमाल की जाने वाली रणनीति है।

हालांकि इस अभियान के विज्ञापन यूक्रेन स्थित 'ВОЛОДИМИР ТЕРЕЩЕНКО' नामक सत्यापित नाम से प्रकाशित किए गए थे, लेकिन यह स्पष्ट नहीं है कि यह पहचान स्वयं संचालकों की है या किसी फर्जी, खरीदे गए या नकली खाते का प्रतिनिधित्व करती है। Google ने 14 मई, 2026 को विज्ञापनदाता खाते और संबंधित अभियानों को हटा दिया।

सर्च इंजन में हेरफेर के कारण पीड़ित फर्जी सॉफ्टवेयर साइटों पर पहुंच जाते हैं

यह संक्रमण तब फैलता है जब उपयोगकर्ता Google जैसे सर्च इंजन पर 'नोड.जेएस का एलटीएस संस्करण' जैसे शब्दों को खोजते हैं। पीड़ितों को प्रायोजित परिणामों के माध्यम से एक नकली वेबसाइट, node-js.prentiva99.info पर भेज दिया जाता है, जो वैध सॉफ़्टवेयर संसाधन होने का दिखावा करती है।

धोखाधड़ी वाली वेबसाइट से जुड़ने वाले उपयोगकर्ताओं को Storj पर होस्ट की गई एक बैच स्क्रिप्ट डाउनलोड करने के लिए कहा जाता है, जो एक विकेन्द्रीकृत और ओपन-सोर्स क्लाउड स्टोरेज प्लेटफॉर्म है। Storj जैसी वैध सेवाओं का दुरुपयोग उन खतरों को उजागर करता है जो डोमेन प्रतिष्ठा और सुरक्षा फ़िल्टरिंग तंत्र को दरकिनार करने के लिए विश्वसनीय प्लेटफार्मों पर तेजी से निर्भर हो रहे हैं।

बहु-चरणीय संक्रमण श्रृंखला दुर्भावनापूर्ण गतिविधि को छुपाती है

डाउनलोड की गई बैच फ़ाइल को चलाने पर एक नकली इंस्टॉलेशन विज़ार्ड दिखाई देता है, जो वैध सॉफ़्टवेयर सेटअप का भ्रम पैदा करता है, जबकि चुपके से Storj से अगले चरण का पेलोड, OXLOADER, डाउनलोड हो जाता है। मैलवेयर को पॉवरशेल कमांड के माध्यम से प्राप्त किया जाता है और -Verb RunAs पैरामीटर के साथ लॉन्च किया जाता है, जिससे विंडोज उपयोगकर्ता खाता नियंत्रण (UAC) प्रॉम्प्ट उत्पन्न होता है।

इसके बाद हमले में डीएलएल साइड-लोडिंग तकनीकों का उपयोग करके एक दुर्भावनापूर्ण डायनेमिक-लिंक लाइब्रेरी को निष्पादित किया जाता है, जो अंतिम पेलोड, कैसलस्टीलर को डिक्रिप्ट और लॉन्च करता है।

उन्नत बचाव तकनीकें पता लगाने की चुनौतियों को बढ़ाती हैं

OXLOADER में कई परिष्कृत तकनीकें शामिल हैं जो विशेष रूप से विश्लेषण में बाधा डालने और पता लगाने से बचने के लिए डिज़ाइन की गई हैं:

  • नियंत्रण प्रवाह समतलीकरण, अपारदर्शी विधेय और मिश्रित बूलियन-अरिथमेटिक तकनीकों सहित कई अस्पष्टीकरण परतें।
  • स्वयं-संशोधित डिक्रिप्शन रूटीन, शेलकोड स्टेजिंग के लिए विंडोज के .reloc सेक्शन का दुरुपयोग, और एंटी-सैंडबॉक्स तंत्र जो आभासी विश्लेषण वातावरण में निष्पादन को रोकते हैं।
  • ये क्षमताएं स्थिर और गतिशील दोनों प्रकार के पहचान तंत्रों से बचने के लिए एक सोची-समझी और सुव्यवस्थित रणनीति का प्रदर्शन करती हैं।

    साइबर अपराध गतिविधियों में कैसलस्टीलर की बढ़ती उपस्थिति

    CastleStealer एक .NET आधारित मैलवेयर परिवार है जो हाल ही में अन्य अभियानों में भी दिखाई दिया है। इससे पहले इसे CastleLoader के साथ ClickFix जैसी सोशल इंजीनियरिंग रणनीति के ज़रिए फैलाया गया था, जिसमें इसे BackgroundFix नामक एक ऑपरेशन में मुफ़्त इमेज-एडिटिंग एप्लिकेशन के रूप में पेश किया गया था। CastleLoader को GrayBravo नामक खतरे की गतिविधि समूह से जोड़ा गया है।

    प्रारंभिक चरण का खतरा जिसमें काफी संभावनाएं हैं

    हालांकि OXLOADER अभी परिचालन तैनाती के शुरुआती चरणों में प्रतीत होता है, लेकिन इसकी तकनीकी जटिलता सुरक्षा एजेंसियों के लिए गहन ध्यान देने योग्य है। कई विशेषताएं इसके डेवलपर्स द्वारा किए गए पर्याप्त निवेश का संकेत देती हैं:

    • व्यापक कोड अस्पष्टीकरण और वर्चुअल मशीन विरोधी सुरक्षा उपाय।
    • हानिरहित दिखने वाले कोड का उपयोग करके दुर्भावनापूर्ण बाइनरी फ़ाइलों को छिपाना और अद्वितीय पेलोड स्टेजिंग तकनीकें अपनाना।

    ये डिज़ाइन विकल्प पहले ही कारगर साबित हो चुके हैं, जिससे OXLOADER स्थिर स्कैनिंग इंजनों और स्वचालित विस्फोट वातावरणों में कम पहचान दर हासिल करने में सक्षम हो गया है। परिणामस्वरूप, व्यापक पहचान संकेतों और प्रतिउपायों के विकसित होने से पहले मैलवेयर को वर्तमान में एक मूल्यवान परिचालन अवधि का लाभ मिल रहा है।

    सबसे ज्यादा देखा गया

    लोड हो रहा है...