Perisian Hasad OXLOADER
Penyelidik keselamatan siber telah menemui satu kempen perisian hasad baharu, yang dinamakan REF8372, yang menggunakan pemuat perisian hasad yang sebelum ini tidak didokumenkan yang dikenali sebagai OXLOADER untuk menggunakan perisian hasad pencuri maklumat CastleStealer.
Operasi ini bermula dengan iklan Google yang berniat jahat yang direka untuk menarik mangsa mencari perisian popular. Analisis menunjukkan bahawa pelaku ancaman di sebalik kempen ini mungkin berbahasa Rusia dan bermotivasi kewangan. Penilaian ini berdasarkan pengecualian sengaja perisian hasad terhadap sistem yang terletak di dalam Komanwel Negara-negara Merdeka (CIS), satu taktik yang kerap digunakan oleh kumpulan penjenayah siber yang beroperasi di rantau ini.
Walaupun iklan kempen tersebut diterbitkan di bawah nama yang disahkan 'ВОЛОДИМИР ТЕРЕЩЕНКО,' yang didakwa berpangkalan di Ukraine, masih tidak jelas sama ada identiti ini milik pengendali itu sendiri atau mewakili akaun yang dikompromi, dibeli atau direka. Google telah mengalih keluar akaun pengiklan dan kempen yang berkaitan pada 14 Mei 2026.
Isi kandungan
Manipulasi Enjin Carian Membawa Mangsa ke Laman Perisian Palsu
Rantaian jangkitan dicetuskan apabila pengguna mencari istilah seperti 'versi lts node.js' melalui enjin carian seperti Google. Mangsa dialihkan melalui hasil tajaan ke laman web palsu, node-js.prentiva99.info, yang menyamar sebagai sumber perisian yang sah.
Pengguna yang berinteraksi dengan laman web palsu itu digesa untuk memuat turun skrip kelompok yang dihoskan di Storj, platform storan awan sumber terbuka dan terpencar. Penyalahgunaan perkhidmatan sah seperti Storj menonjolkan trend yang semakin meningkat dalam kalangan pelaku ancaman, yang semakin bergantung pada platform yang dipercayai untuk memintas reputasi domain dan mekanisme penapisan keselamatan.
Rantaian Jangkitan Berbilang Peringkat Menyembunyikan Aktiviti Berniat Jahat
Pelaksanaan fail kelompok yang dimuat turun memaparkan wizard pemasangan palsu, mewujudkan ilusi persediaan perisian yang sah sambil memuat turun muatan peringkat seterusnya, OXLOADER, daripada Storj secara rahsia. Perisian hasad ini diambil melalui arahan PowerShell dan dilancarkan dengan parameter -Verb RunAs, menghasilkan gesaan Kawalan Akaun Pengguna Windows (UAC).
Serangan itu kemudiannya menggunakan teknik pemuatan sisi DLL untuk melaksanakan pustaka pautan dinamik yang berniat jahat, yang menyahsulit dan melancarkan muatan akhir, CastleStealer.
Teknik Pengelakan Lanjutan Meningkatkan Cabaran Pengesanan
OXLOADER menggabungkan beberapa teknik canggih yang direka khusus untuk menghalang analisis dan mengelak pengesanan:
- Pelbagai lapisan obfuskasi, termasuk perataan aliran kawalan, predikat legap dan teknik Boolean-Arithmetic campuran.
- Rutin penyahsulitan yang mengubah suai kendiri, penyalahgunaan bahagian .reloc Windows untuk pementasan kod shell dan mekanisme anti-kotak pasir yang menghalang pelaksanaan dalam persekitaran analisis maya.
Keupayaan ini menunjukkan pendekatan yang disengajakan dan direka bentuk dengan baik untuk mengelakkan mekanisme pengesanan statik dan dinamik.
Kehadiran CastleStealer yang Semakin Berkembang dalam Operasi Jenayah Siber
CastleStealer ialah keluarga perisian hasad pencuri maklumat berasaskan .NET yang baru-baru ini muncul dalam kempen tambahan. Ia sebelum ini diedarkan bersama CastleLoader melalui gewang kejuruteraan sosial ala ClickFix yang menyamar sebagai aplikasi penyuntingan imej percuma dalam operasi yang dikenali sebagai BackgroundFix. CastleLoader telah dikaitkan dengan kluster aktiviti ancaman yang dikesan sebagai GrayBravo.
Ancaman Peringkat Awal dengan Potensi Ketara
Walaupun OXLOADER nampaknya berada di peringkat awal penggunaan operasi, kecanggihan teknikalnya memerlukan perhatian rapi daripada pihak pembela. Beberapa ciri menunjukkan pelaburan yang besar oleh pembangunnya:
- Pengeliruan kod yang meluas dan perlindungan anti-mesin maya.
- Penggunaan kod yang kelihatan jinak untuk menyembunyikan binari berniat jahat dan teknik pementasan muatan yang unik.
Pilihan reka bentuk ini telah terbukti berkesan, membolehkan OXLOADER mencapai kadar pengesanan yang rendah merentasi enjin pengimbasan statik dan persekitaran letupan automatik. Hasilnya, perisian hasad kini mendapat manfaat daripada tempoh operasi yang berharga sebelum tandatangan pengesanan meluas dan langkah balas dibangunkan.