OXLOADER-skadevare
Forskere på nettsikkerhet har avdekket en ny skadevarekampanje, kalt REF8372, som bruker en tidligere udokumentert skadevarelaster kjent som OXLOADER for å distribuere den informasjonsstjelende skadevaren CastleStealer.
Operasjonen starter med ondsinnede Google-annonser som er utformet for å lokke ofre som søker etter populær programvare. Analyser tyder på at trusselaktørene bak kampanjen sannsynligvis er russisktalende og økonomisk motiverte. Denne vurderingen er basert på skadevarens bevisste ekskludering av systemer som ligger innenfor Samveldet av uavhengige stater (SNG), en taktikk som ofte brukes av nettkriminelle grupper som opererer i regionen.
Selv om kampanjens annonser ble publisert under det verifiserte navnet «ВОЛОДИМИР ТЕРЕЩЕНКО», angivelig basert i Ukraina, er det fortsatt uklart om denne identiteten tilhører operatørene selv eller representerer en kompromittert, kjøpt eller fabrikkert konto. Google fjernet annonsørkontoen og tilhørende kampanjer 14. mai 2026.
Innholdsfortegnelse
Søkemotormanipulasjon fører ofre til falske programvaresider
Infeksjonskjeden utløses når brukere søker etter ord som «lts-versjon av node.js» gjennom søkemotorer som Google. Ofre blir omdirigert via sponsede resultater til et forfalsket nettsted, node-js.prentiva99.info, som utgir seg for å være en legitim programvareressurs.
Brukere som samhandler med det svindelbaserte nettstedet blir bedt om å laste ned et batchskript som ligger på Storj, en desentralisert og åpen kildekode-plattform for skylagring. Misbruket av legitime tjenester som Storj fremhever en økende trend blant trusselaktører, som i økende grad er avhengige av pålitelige plattformer for å omgå filtreringsmekanismer for domenets omdømme og sikkerhet.
Flertrinns infeksjonskjede skjuler ondsinnet aktivitet
Utførelse av den nedlastede batchfilen viser en falsk installasjonsveiviser, noe som skaper en illusjon av et legitimt programvareoppsett mens neste nyttelast, OXLOADER, i hemmelighet lastes ned fra Storj. Skadevaren hentes via en PowerShell-kommando og startes med -Verb RunAs-parameteren, noe som genererer en Windows User Account Control (UAC)-ledetekst.
Angrepet bruker deretter DLL-sidelastingsteknikker for å kjøre et ondsinnet dynamisk lenkebibliotek, som dekrypterer og starter den endelige nyttelasten, CastleStealer.
Avanserte unnvikelsesteknikker øker utfordringene med oppdagelse
OXLOADER inneholder flere sofistikerte teknikker som er spesielt utviklet for å hindre analyse og unngå oppdagelse:
- Flere obfuskeringslag, inkludert kontrollflytutflating, ugjennomsiktige predikater og blandede boolske-aritmetiske teknikker.
- Selvmodifiserende dekrypteringsrutiner, misbruk av Windows .reloc-delen for shellcode-staging og anti-sandbox-mekanismer som forhindrer utførelse i virtualiserte analysemiljøer.
Disse funksjonene demonstrerer en bevisst og godt konstruert tilnærming for å unngå både statiske og dynamiske deteksjonsmekanismer.
CastleStealers voksende tilstedeværelse i nettkriminalitetsoperasjoner
CastleStealer er en .NET-basert familie av skadelig programvare som stjeler informasjon og som nylig har dukket opp i flere kampanjer. Den ble tidligere distribuert sammen med CastleLoader gjennom et ClickFix-lignende sosialt manipuleringslokkemiddel som utga seg for å være et gratis bilderedigeringsprogram i en operasjon kjent som BackgroundFix. CastleLoader har blitt koblet til trusselaktivitetsklyngen som spores som GrayBravo.
Tidlig trussel med betydelig potensial
Selv om OXLOADER ser ut til å være i en tidlig fase av operativ utplassering, krever den tekniske sofistikasjonen nøye oppmerksomhet fra forsvarerne. Flere kjennetegn indikerer betydelige investeringer fra utviklerne:
- Omfattende kodeforvirring og beskyttelse mot virtuelle maskiner.
- Bruk av godartet kode for å skjule ondsinnede binærfiler og unike teknikker for oppsamling av nyttelast.
Disse designvalgene har allerede vist seg effektive, og har gjort det mulig for OXLOADER å oppnå lave deteksjonsrater på tvers av statiske skannemotorer og automatiserte detonasjonsmiljøer. Som et resultat drar skadevaren nytte av et verdifullt driftsvindu før det utvikles omfattende deteksjonssignaturer og mottiltak.