OXLOADER kártevő
Kiberbiztonsági kutatók lelepleztek egy új, REF8372 jelzésű kártevő kampányt, amely egy korábban nem dokumentált, OXLOADER néven ismert kártevő-betöltőt használ az információlopó CastleStealer rosszindulatú program telepítéséhez.
A művelet rosszindulatú Google-hirdetésekkel kezdődik, amelyek célja, hogy népszerű szoftvereket kereső áldozatokat csábítsanak. Az elemzések azt sugallják, hogy a kampány mögött álló kiberfenyegetők valószínűleg orosz anyanyelvűek és anyagilag motiváltak. Ez a becslés azon alapul, hogy a rosszindulatú program szándékosan kizárja a Független Államok Közösségén (FÁK) belül található rendszereket, ami egy gyakran alkalmazott taktika a régióban működő kiberbűnözői csoportok számára.
Bár a kampány hirdetései az állítólagosan Ukrajnában élő, ellenőrzött „ВОЛОДИМИР ТЕРЕЩЕНКО” név alatt jelentek meg, továbbra sem világos, hogy ez a személyazonosság magukhoz az üzemeltetőkhöz tartozik-e, vagy egy feltört, megvásárolt vagy kitalált fiókot képvisel. A Google 2026. május 14-én eltávolította a hirdetői fiókot és a hozzá tartozó kampányokat.
Tartalomjegyzék
A keresőmotor-manipuláció hamis szoftveroldalakra vezeti az áldozatokat
A fertőzési lánc akkor indul be, amikor a felhasználók olyan kifejezésekre keresnek rá a keresőmotorokon, mint például a „node.js lts verziója”. Az áldozatokat szponzorált találatok révén egy hamisított weboldalra, a node-js.prentiva99.info-ra irányítják át, amely legitim szoftverforrásnak álcázza magát.
A csaló weboldallal interakcióba lépő felhasználókat arra kérik, hogy töltsenek le egy kötegelt szkriptet, amelyet a Storj, egy decentralizált és nyílt forráskódú felhőalapú tárhelyplatform tárol. A Storjhoz hasonló legitim szolgáltatásokkal való visszaélés rávilágít egy növekvő trendre a fenyegető szereplők körében, akik egyre inkább megbízható platformokra támaszkodnak a domain hírnevének és a biztonsági szűrőmechanizmusok megkerülésére.
Többlépcsős fertőzési lánc leplezi a rosszindulatú tevékenységeket
A letöltött kötegelt fájl futtatása egy hamis telepítővarázslót jelenít meg, amely egy legitim szoftvertelepítés illúzióját kelti, miközben titokban letölti a következő fázisú hasznos adatot, az OXLOADER-t a Storj-ból. A kártevőt egy PowerShell-paranccsal töltik le, és a -Verb RunAs paraméterrel indítják el, ami Windows felhasználói fiókok felügyeletét (UAC) kéri le.
A támadás ezt követően DLL oldalra betöltési technikákat használ egy rosszindulatú dinamikus csatolású függvénytár végrehajtásához, amely dekódolja és elindítja a végső hasznos adatot, a CastleStealer-t.
A fejlett kitérési technikák növelik az észlelési kihívásokat
Az OXLOADER számos kifinomult technikát alkalmaz, amelyeket kifejezetten az elemzés akadályozására és az észlelés elkerülésére terveztek:
- Több obfuszkációs réteg, beleértve a vezérlési folyamat lapítását, az átlátszatlan predikátumokat és a vegyes Boole-aritmetikai technikákat.
- Önmódosító visszafejtési rutinok, a Windows .reloc szakaszának visszaélésszerű használata shellkód előkészítéséhez, valamint anti-sandbox mechanizmusok, amelyek megakadályozzák a végrehajtást virtualizált elemzési környezetekben.
Ezek a képességek egy szándékos és jól megtervezett megközelítést mutatnak be mind a statikus, mind a dinamikus észlelési mechanizmusok elkerülésére.
A CastleStealer növekvő jelenléte a kiberbűnözési műveletekben
A CastleStealer egy .NET alapú, információkat ellopó kártevőcsalád, amely a közelmúltban további kampányokban is megjelent. Korábban a CastleLoaderrel együtt terjesztették egy ClickFix stílusú, szociális manipulációra épülő csali segítségével, amely egy ingyenes képszerkesztő alkalmazásnak adta ki magát a BackgroundFix néven ismert művelet keretében. A CastleLoader-t összefüggésbe hozták a GrayBravo néven nyomon követett fenyegetési tevékenységi klaszterrel.
Korai stádiumú fenyegetés jelentős potenciállal
Bár úgy tűnik, hogy az OXLOADER a működés korai szakaszában van, technikai kifinomultsága a védők fokozott figyelmét érdemli. Számos jellemző a fejlesztők jelentős befektetésére utal:
- Kiterjedt kód obfuszkálás és virtuális gépek elleni védelem.
- Ártalmatlannak tűnő kód használata rosszindulatú bináris fájlok és egyedi hasznos terhelés előkészítési technikák elrejtésére.
Ezek a tervezési döntések már bizonyították hatékonyságukat, lehetővé téve az OXLOADER számára, hogy alacsony észlelési arányt érjen el statikus pásztázómotorok és automatizált detonációs környezetek esetén. Ennek eredményeként a rosszindulatú program jelenleg értékes működési idővel rendelkezik, mielőtt széles körű észlelési szignatúrákat és ellenintézkedéseket fejlesztenének ki.