OXLOADER ļaunprogrammatūra
Kiberdrošības pētnieki ir atklājuši jaunu ļaunprogrammatūras kampaņu ar apzīmējumu REF8372, kas izmanto iepriekš nedokumentētu ļaunprogrammatūras ielādētāju OXLOADER, lai izvietotu informāciju zogošo ļaunprogrammatūru CastleStealer.
Operācija sākas ar ļaunprātīgām Google reklāmām, kas paredzētas, lai pievilinātu upurus, kuri meklē populāru programmatūru. Analīze liecina, ka kampaņas veidotāji, visticamāk, ir krievvalodīgi un finansiāli motivēti. Šis novērtējums ir balstīts uz ļaunprogrammatūras apzinātu sistēmu, kas atrodas Neatkarīgo Valstu Sadraudzības (NVS) teritorijā, izslēgšanu, kas ir taktika, ko bieži izmanto reģionā darbojošās kibernoziedznieku grupas.
Lai gan kampaņas reklāmas tika publicētas ar verificētu vārdu “ВОЛОДИМИР ТЕРЕЩЕНКО”, kas, iespējams, atrodas Ukrainā, joprojām nav skaidrs, vai šī identitāte pieder pašiem operatoriem vai arī pārstāv kompromitētu, iegādātu vai safabricētu kontu. Google noņēma reklāmdevēja kontu un ar to saistītās kampaņas 2026. gada 14. maijā.
Satura rādītājs
Meklētājprogrammu manipulācijas noved upurus pie viltotām programmatūras vietnēm
Infekcijas ķēde tiek aktivizēta, kad lietotāji meklētājprogrammās, piemēram, Google, meklē tādus terminus kā “node.js lts versija”. Cietuši tiek novirzīti, izmantojot sponsorētus rezultātus, uz viltotu vietni node-js.prentiva99.info, kas maskējas kā likumīgs programmatūras resurss.
Lietotājiem, kas mijiedarbojas ar krāpniecisko vietni, tiek piedāvāts lejupielādēt pakešskriptu, kas tiek mitināts Storj — decentralizētā un atvērtā pirmkoda mākoņkrātuves platformā. Likumīgu pakalpojumu, piemēram, Storj, ļaunprātīga izmantošana uzsver pieaugošu tendenci apdraudējumu dalībnieku vidū, kuri arvien vairāk paļaujas uz uzticamām platformām, lai apietu domēna reputācijas un drošības filtrēšanas mehānismus.
Daudzpakāpju infekcijas ķēde slēpj ļaunprātīgu darbību
Lejupielādētā pakešfaila izpilde parāda viltotu instalēšanas vedni, radot ilūziju par likumīgu programmatūras instalēšanu, vienlaikus slepeni lejupielādējot nākamā posma vērtumu OXLOADER no Storj. Ļaunprogrammatūra tiek izgūta, izmantojot PowerShell komandu, un palaista ar parametru -Verb RunAs, ģenerējot Windows lietotāja konta kontroles (UAC) uzvedni.
Pēc tam uzbrukumā tiek izmantotas DLL sānu ielādes metodes, lai izpildītu ļaunprātīgu dinamisko saišu bibliotēku, kas atšifrē un palaiž galīgo vērtumu CastleStealer.
Uzlabotas izvairīšanās metodes palielina atklāšanas izaicinājumus
OXLOADER ietver vairākas sarežģītas metodes, kas īpaši izstrādātas, lai kavētu analīzi un izvairītos no atklāšanas:
- Vairāki obfuskācijas slāņi, tostarp vadības plūsmas saplacināšana, necaurspīdīgi predikāti un jauktas Būla-aritmētiskās metodes.
- Pašmodificējošas atšifrēšanas rutīnas, Windows .reloc sadaļas ļaunprātīga izmantošana apvalkkoda izstrādei un pretsmilškastes mehānismi, kas neļauj izpildīt virtualizētās analīzes vidēs.
Šīs iespējas demonstrē apzinātu un labi izstrādātu pieeju, lai izvairītos gan no statiskiem, gan dinamiskiem noteikšanas mehānismiem.
CastleStealer pieaugošā klātbūtne kibernoziegumu apkarošanas operācijās
CastleStealer ir .NET bāzēta informāciju zogoša ļaunprogrammatūru saime, kas nesen parādījusies papildu kampaņās. Iepriekš tā tika izplatīta līdzās CastleLoader, izmantojot ClickFix stila sociālās inženierijas ēsmu, kas izlikās par bezmaksas attēlu rediģēšanas lietojumprogrammu operācijā, kas pazīstama kā BackgroundFix. CastleLoader ir saistīta ar apdraudējumu aktivitāšu klasteri, kas tiek izsekots kā GrayBravo.
Agrīnās stadijas apdraudējums ar ievērojamu potenciālu
Lai gan šķiet, ka OXLOADER ir operatīvās ieviešanas sākumposmā, tā tehniskā sarežģītība ir pelnījusi aizstāvju rūpīgu uzmanību. Vairākas īpašības liecina par ievērojamām izstrādātāju investīcijām:
- Plaša koda slēpšana un aizsardzība pret virtuālajām mašīnām.
- Labdabīga izskata koda izmantošana, lai maskētu ļaunprātīgus bināros failus un unikālas lietderīgās slodzes sagatavošanas metodes.
Šīs dizaina izvēles jau ir pierādījušas savu efektivitāti, ļaujot OXLOADER sasniegt zemu noteikšanas līmeni gan statiskās skenēšanas dzinējos, gan automatizētās detonācijas vidēs. Tā rezultātā ļaunprogrammatūra pašlaik gūst labumu no vērtīga darbības laika, pirms tiek izstrādāti plaši izplatīti noteikšanas signatūru un pretpasākumu risinājumi.