OXLOADER kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė naują kenkėjiškų programų kampaniją, pažymėtą REF8372, kuri naudoja anksčiau nedokumentuotą kenkėjiškų programų įkėlimo įrankį, vadinamą OXLOADER, kad dislokuotų informaciją vagiančią kenkėjišką programą „CastleStealer“.
Operacija prasideda kenkėjiškomis „Google“ reklamomis, skirtomis privilioti aukas, ieškančias populiarios programinės įrangos. Analizė rodo, kad kampaniją vykdantys grėsmės veikėjai greičiausiai yra rusakalbiai ir finansiškai motyvuoti. Šis vertinimas pagrįstas tuo, kad kenkėjiška programa sąmoningai neįtraukia sistemų, esančių Nepriklausomų Valstybių Sandraugoje (NVS) – tai taktika, kurią dažnai naudoja regione veikiančios kibernetinių nusikaltėlių grupuotės.
Nors kampanijos reklamos buvo publikuojamos patvirtintu vardu „ВОЛОДИМИР ТЕРЕЩЕНКО“, tariamai Ukrainoje įsikūrusiu asmeniu, lieka neaišku, ar ši tapatybė priklauso patiems operatoriams, ar yra pažeista, įsigyta ar sufabrikuota paskyra. „Google“ pašalino reklamuotojo paskyrą ir susijusias kampanijas 2026 m. gegužės 14 d.
Turinys
Paieškos sistemų manipuliavimas aukas nukreipia į netikras programinės įrangos svetaines
Užkrato grandinė suveikia, kai vartotojai paieškos sistemose, tokiose kaip „Google“, ieško tokių terminų kaip „lts node.js versija“. Aukos per reklaminius rezultatus nukreipiamos į suklastotą svetainę node-js.prentiva99.info, kuri maskuojasi kaip teisėtas programinės įrangos šaltinis.
Su sukčiavimo svetaine sąveikaujantys vartotojai raginami atsisiųsti paketinį scenarijų, esantį „Storj“ – decentralizuotoje ir atvirojo kodo debesų saugyklos platformoje. Piktnaudžiavimas teisėtomis paslaugomis, tokiomis kaip „Storj“, pabrėžia augančią tendenciją tarp grėsmių kūrėjų, kurie vis dažniau pasikliauja patikimomis platformomis, kad apeitų domeno reputacijos ir saugumo filtravimo mechanizmus.
Daugiapakopė infekcijos grandinė slepia kenkėjišką veiklą
Atsisiųsto paketinio failo vykdymas parodo netikrą diegimo vedlį, sukuriantį teisėtos programinės įrangos diegimo iliuziją, tuo pačiu slapta atsisiunčiant kito etapo naudingąją apkrovą – OXLOADER – iš „Storj“. Kenkėjiška programa nuskaitoma naudojant „PowerShell“ komandą ir paleidžiama su parametru „-Verb RunAs“, sugeneruojant „Windows“ vartotojo abonemento valdymo (UAC) raginimą.
Vėliau ataka naudoja DLL šoninio įkėlimo metodus, kad paleistų kenkėjišką dinaminių nuorodų biblioteką, kuri iššifruoja ir paleidžia galutinį paketą „CastleStealer“.
Pažangūs vengimo metodai padidina aptikimo iššūkius
„OXLOADER“ apima keletą sudėtingų metodų, specialiai sukurtų siekiant apsunkinti analizę ir išvengti aptikimo:
- Keli obfuskacijos sluoksniai, įskaitant valdymo srauto suplokštinimą, neskaidrius predikatus ir mišrius Būlio-aritmetinius metodus.
- Savaime modifikuojančios iššifravimo procedūros, piktnaudžiavimas „Windows .reloc“ sekcija apvalkalinio kodo parengimui ir apsaugos nuo smėlio dėžės mechanizmai, kurie neleidžia vykdyti virtualizuotose analizės aplinkose.
Šios galimybės rodo apgalvotą ir gerai suprojektuotą požiūrį, siekiant išvengti tiek statinių, tiek dinaminių aptikimo mechanizmų.
„CastleStealer“ vis stiprėjanti veikla kibernetinių nusikaltimų operacijose
„CastleStealer“ yra .NET pagrindu sukurta informaciją vagianti kenkėjiškų programų šeima, kuri neseniai pasirodė papildomose kampanijose. Anksčiau ji buvo platinama kartu su „CastleLoader“ per „ClickFix“ stiliaus socialinės inžinerijos masalą, kuris apsimetė nemokama vaizdų redagavimo programa, veikiančia kaip „BackgroundFix“. „CastleLoader“ buvo susieta su grėsmių veiklos grupe, sekama kaip „GrayBravo“.
Ankstyvos stadijos grėsmė, turinti didelį potencialą
Nors „OXLOADER“ atrodo dar tik pradinėje operacinio diegimo stadijoje, jo techninis sudėtingumas nusipelno gynėjų dėmesio. Kelios savybės rodo dideles kūrėjų investicijas:
- Platus kodo maskavimas ir apsauga nuo virtualių mašinų.
- Geriamojo kodo naudojimas kenkėjiškiems dvejetainiams failams ir unikaliems naudingosios apkrovos paruošimo būdams užmaskuoti.
Šie projektavimo sprendimai jau pasirodė esą veiksmingi ir leido „OXLOADER“ pasiekti žemą aptikimo rodiklį tiek statiniuose nuskaitymo varikliuose, tiek automatizuotose detonacijos aplinkose. Todėl kenkėjiška programa šiuo metu turi vertingą veikimo laikotarpį, kol bus sukurti plačiai paplitę aptikimo kodai ir atsakomosios priemonės.