Database delle minacce Malware Malware OXLOADER

Malware OXLOADER

I ricercatori di sicurezza informatica hanno scoperto una nuova campagna malware, denominata REF8372, che utilizza un loader malware precedentemente sconosciuto, noto come OXLOADER, per diffondere il malware CastleStealer, in grado di rubare informazioni.

L'operazione inizia con annunci Google malevoli, progettati per attirare le vittime alla ricerca di software popolari. Le analisi suggeriscono che gli autori della campagna siano probabilmente di lingua russa e motivati da interessi economici. Questa valutazione si basa sull'esclusione deliberata, da parte del malware, dei sistemi situati nella Comunità degli Stati Indipendenti (CSI), una tattica frequentemente utilizzata dai gruppi di criminali informatici che operano nella regione.

Sebbene gli annunci della campagna fossero pubblicati con il nome verificato "ВОЛОДИМИР ТЕРЕЩЕНКО", presumibilmente con sede in Ucraina, non è ancora chiaro se tale identità appartenga effettivamente agli operatori o rappresenti un account compromesso, acquistato o creato ad hoc. Google ha rimosso l'account dell'inserzionista e le relative campagne il 14 maggio 2026.

La manipolazione dei motori di ricerca indirizza le vittime verso siti web che promettono software falsi.

La catena di infezione si innesca quando gli utenti cercano termini come "versione LTS di Node.js" tramite motori di ricerca come Google. Le vittime vengono reindirizzate, attraverso risultati sponsorizzati, a un sito web contraffatto, node-js.prentiva99.info, che si spaccia per una risorsa software legittima.

Gli utenti che interagiscono con il sito web fraudolento vengono invitati a scaricare uno script batch ospitato su Storj, una piattaforma di cloud storage decentralizzata e open source. L'abuso di servizi legittimi come Storj evidenzia una tendenza crescente tra i malintenzionati, che si affidano sempre più a piattaforme affidabili per aggirare i meccanismi di reputazione del dominio e di filtraggio della sicurezza.

Una catena di infezione a più fasi nasconde attività dannose

L'esecuzione del file batch scaricato visualizza una falsa procedura guidata di installazione, creando l'illusione di una legittima installazione del software mentre scarica segretamente il payload successivo, OXLOADER, da Storj. Il malware viene recuperato tramite un comando PowerShell e avviato con il parametro -Verb RunAs, generando una richiesta di Controllo dell'account utente (UAC) di Windows.

L'attacco utilizza successivamente tecniche di side-loading di DLL per eseguire una libreria a collegamento dinamico dannosa, che decifra e avvia il payload finale, CastleStealer.

Le tecniche di elusione avanzate aumentano le difficoltà di rilevamento.

OXLOADER incorpora diverse tecniche sofisticate specificamente progettate per ostacolare l'analisi ed eludere il rilevamento:

  • Diversi livelli di offuscamento, tra cui l'appiattimento del flusso di controllo, i predicati opachi e le tecniche miste di aritmetica booleana.
  • Routine di decrittazione automodificanti, abuso della sezione .reloc di Windows per la preparazione di shellcode e meccanismi anti-sandbox che impediscono l'esecuzione in ambienti di analisi virtualizzati.

Queste capacità dimostrano un approccio deliberato e ben progettato per evitare meccanismi di rilevamento sia statici che dinamici.

La crescente presenza di CastleStealer nelle operazioni di criminalità informatica

CastleStealer è una famiglia di malware per il furto di informazioni basata su .NET, recentemente apparsa in ulteriori campagne. In precedenza, veniva distribuito insieme a CastleLoader tramite un'esca di ingegneria sociale in stile ClickFix, che si presentava come un'applicazione gratuita per l'editing di immagini, nell'ambito di un'operazione nota come BackgroundFix. CastleLoader è stato collegato al cluster di attività di minaccia tracciato come GrayBravo.

Minaccia in fase iniziale con potenziale significativo

Sebbene OXLOADER sembri essere nelle prime fasi di implementazione operativa, la sua sofisticazione tecnica merita la massima attenzione da parte dei difensori. Diverse caratteristiche indicano un investimento considerevole da parte dei suoi sviluppatori:

  • Vasta protezione contro l'offuscamento del codice e le macchine virtuali.
  • Utilizzo di codice apparentemente innocuo per mascherare file binari dannosi e tecniche di staging del payload uniche.

Queste scelte progettuali si sono già dimostrate efficaci, consentendo a OXLOADER di raggiungere bassi tassi di rilevamento sia con i motori di scansione statica che negli ambienti di detonazione automatizzata. Di conseguenza, il malware beneficia attualmente di una preziosa finestra operativa prima che vengano sviluppate firme di rilevamento e contromisure diffuse.

I più visti

Caricamento in corso...