Baza prijetnji Malware OXLOADER Zlonamjerni softver

OXLOADER Zlonamjerni softver

Istraživači kibernetičke sigurnosti otkrili su novu kampanju zlonamjernog softvera, označenu kao REF8372, koja koristi prethodno nedokumentirani program za učitavanje zlonamjernog softvera poznat kao OXLOADER za primjenu zlonamjernog softvera CastleStealer koji krade informacije.

Operacija započinje zlonamjernim Google oglasima osmišljenima kako bi namamili žrtve koje traže popularan softver. Analiza sugerira da su akteri prijetnji koji stoje iza kampanje vjerojatno ruski govornici i financijski motivirani. Ova procjena temelji se na namjernom isključivanju sustava koji se nalaze unutar Zajednice neovisnih država (ZND) od strane zlonamjernog softvera, taktici koju često koriste kibernetičke kriminalne skupine koje djeluju u regiji.

Iako su oglasi kampanje objavljeni pod provjerenim imenom 'ВОЛОДИМИР ТЕРЕЩЕНКО', navodno sa sjedištem u Ukrajini, ostaje nejasno pripada li taj identitet samim operaterima ili predstavlja kompromitirani, kupljeni ili izmišljeni račun. Google je uklonio račun oglašivača i povezane kampanje 14. svibnja 2026.

Manipulacija tražilicama vodi žrtve na lažne stranice s softverom

Lanac zaraze pokreće se kada korisnici pretražuju pojmove poput 'lts verzija node.js' putem tražilica poput Googlea. Žrtve se preusmjeravaju putem sponzoriranih rezultata na krivotvorenu web stranicu, node-js.prentiva99.info, koja se maskira kao legitimni softverski resurs.

Korisnici koji komuniciraju s lažnom web stranicom potiču se na preuzimanje batch skripte smještene na Storju, decentraliziranoj platformi za pohranu u oblaku otvorenog koda. Zlouporaba legitimnih usluga poput Storja naglašava rastući trend među prijetnjama koje se sve više oslanjaju na pouzdane platforme kako bi zaobišle mehanizme filtriranja ugleda domene i sigurnosti.

Višestupanjski lanac infekcije prikriva zlonamjernu aktivnost

Izvršavanje preuzete batch datoteke prikazuje lažni čarobnjak za instalaciju, stvarajući iluziju legitimne instalacije softvera dok prikriveno preuzima sljedeći korisni teret, OXLOADER, iz Storja. Zlonamjerni softver se dohvaća putem PowerShell naredbe i pokreće s parametrom -Verb RunAs, generirajući prompt kontrole korisničkih računa sustava Windows (UAC).

Napad potom koristi tehnike bočnog učitavanja DLL-a za izvršavanje zlonamjerne dinamičke biblioteke, koja dešifrira i pokreće konačni korisni teret, CastleStealer.

Napredne tehnike izbjegavanja povećavaju izazove otkrivanja

OXLOADER uključuje nekoliko sofisticiranih tehnika posebno dizajniranih za ometanje analize i izbjegavanje otkrivanja:

  • Višestruki slojevi obfuskacije, uključujući izravnavanje toka upravljanja, neprozirne predikate i miješane Booleove aritmetičke tehnike.
  • Samomodificirajuće rutine za dešifriranje, zlouporaba Windows .reloc sekcije za pripremu shellcode-a i anti-sandbox mehanizmi koji sprječavaju izvršavanje u virtualiziranim okruženjima za analizu.

Ove mogućnosti pokazuju promišljen i dobro osmišljen pristup izbjegavanju i statičkih i dinamičkih mehanizama detekcije.

CastleStealerova rastuća prisutnost u operacijama kibernetičkog kriminala

CastleStealer je obitelj zlonamjernog softvera za krađu informacija temeljena na .NET-u koja se nedavno pojavila u dodatnim kampanjama. Prethodno se distribuirao uz CastleLoader putem mamca za socijalni inženjering u stilu ClickFixa koji se predstavljao kao besplatna aplikacija za uređivanje slika u operaciji poznatoj kao BackgroundFix. CastleLoader je povezan s klasterom prijetnji praćenim kao GrayBravo.

Prijetnja u ranoj fazi sa značajnim potencijalom

Iako se čini da je OXLOADER u ranim fazama operativnog raspoređivanja, njegova tehnička sofisticiranost zahtijeva pomnu pozornost branitelja. Nekoliko karakteristika ukazuje na značajna ulaganja njegovih programera:

  • Opsežno zamagljivanje koda i zaštita od virtualnih strojeva.
  • Korištenje koda bezopasnog izgleda za prikrivanje zlonamjernih binarnih datoteka i jedinstvenih tehnika pripremljivanja korisnog tereta.

Ovi dizajnerski odabiri već su se pokazali učinkovitima, omogućujući OXLOADER-u postizanje niskih stopa detekcije u statičkim sustavima za skeniranje i automatiziranim okruženjima detonacije. Kao rezultat toga, zlonamjerni softver trenutno ima koristi od vrijednog operativnog prozora prije nego što se razviju široko rasprostranjeni potpisi za detekciju i protumjere.

Učitavam...