OXLOADER मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले REF8372 नाम दिइएको नयाँ मालवेयर अभियान पत्ता लगाएका छन्, जसले जानकारी चोरी गर्ने मालवेयर CastleStealer तैनाथ गर्न OXLOADER भनेर चिनिने पहिले कागजात नगरिएको मालवेयर लोडर प्रयोग गर्दछ।
यो अपरेशन लोकप्रिय सफ्टवेयर खोज्ने पीडितहरूलाई लोभ्याउन डिजाइन गरिएका दुर्भावनापूर्ण गुगल विज्ञापनहरूबाट सुरु हुन्छ। विश्लेषणले सुझाव दिन्छ कि अभियान पछाडि धम्की दिने अभिनेताहरू सम्भवतः रूसी भाषा बोल्ने र आर्थिक रूपमा प्रेरित छन्। यो मूल्याङ्कन मालवेयरले कमनवेल्थ अफ इन्डिपेन्डेन्ट स्टेट्स (CIS) भित्र अवस्थित प्रणालीहरूलाई जानाजानी बहिष्कार गरेकोमा आधारित छ, जुन यस क्षेत्रमा कार्यरत साइबर अपराध समूहहरूले बारम्बार प्रयोग गर्ने रणनीति हो।
अभियानका विज्ञापनहरू 'ВОЛОДИМИР ТЕРЕЩЕНКО' प्रमाणित नाम अन्तर्गत प्रकाशित गरिएको भए तापनि, यो पहिचान अपरेटरहरूको हो वा सम्झौता गरिएको, खरिद गरिएको, वा बनावटी खातालाई प्रतिनिधित्व गर्दछ भन्ने कुरा स्पष्ट छैन। गुगलले मे १४, २०२६ मा विज्ञापनदाता खाता र सम्बन्धित अभियानहरू हटायो।
सामग्रीको तालिका
खोज इन्जिन हेरफेरले पीडितहरूलाई नक्कली सफ्टवेयर साइटहरूमा पुर्याउँछ
प्रयोगकर्ताहरूले गुगल जस्ता खोज इन्जिनहरू मार्फत 'node.js को lts संस्करण' जस्ता शब्दहरू खोज्दा संक्रमण शृङ्खला सुरु हुन्छ। पीडितहरूलाई प्रायोजित परिणामहरू मार्फत नक्कली वेबसाइट, node-js.prentiva99.info मा रिडिरेक्ट गरिन्छ, जसले वैध सफ्टवेयर स्रोतको रूपमा प्रस्तुत गर्दछ।
धोखाधडी वेबसाइटसँग अन्तर्क्रिया गर्ने प्रयोगकर्ताहरूलाई स्टोर्जमा होस्ट गरिएको ब्याच स्क्रिप्ट डाउनलोड गर्न प्रेरित गरिन्छ, जुन एक विकेन्द्रीकृत र खुला स्रोत क्लाउड भण्डारण प्लेटफर्म हो। स्टोर्ज जस्ता वैध सेवाहरूको दुरुपयोगले खतरा अभिनेताहरूमा बढ्दो प्रवृत्तिलाई हाइलाइट गर्दछ, जसले डोमेन प्रतिष्ठा र सुरक्षा फिल्टरिङ संयन्त्रहरूलाई बाइपास गर्न विश्वसनीय प्लेटफर्महरूमा बढ्दो रूपमा भर पर्छन्।
बहु-चरण संक्रमण श्रृंखलाले दुर्भावनापूर्ण गतिविधि लुकाउँछ
डाउनलोड गरिएको ब्याच फाइलको कार्यान्वयनले नक्कली स्थापना विजार्ड प्रदर्शन गर्दछ, जसले स्टोर्जबाट अर्को चरणको पेलोड, OXLOADER गोप्य रूपमा डाउनलोड गर्दा वैध सफ्टवेयर सेटअपको भ्रम सिर्जना गर्दछ। मालवेयरलाई PowerShell कमाण्ड मार्फत पुन: प्राप्त गरिन्छ र -Verb RunAs प्यारामिटरको साथ सुरु गरिन्छ, जसले Windows प्रयोगकर्ता खाता नियन्त्रण (UAC) प्रम्प्ट उत्पन्न गर्दछ।
आक्रमणले पछि DLL साइड-लोडिङ प्रविधिहरू प्रयोग गरेर दुर्भावनापूर्ण गतिशील-लिङ्क लाइब्रेरी कार्यान्वयन गर्छ, जसले अन्तिम पेलोड, CastleStealer लाई डिक्रिप्ट र सुरुवात गर्छ।
उन्नत चोरी प्रविधिहरूले पत्ता लगाउने चुनौतीहरू बढाउँछन्
OXLOADER ले विश्लेषणलाई बाधा पुर्याउन र पत्ता लगाउनबाट बच्न विशेष रूपमा डिजाइन गरिएका धेरै परिष्कृत प्रविधिहरू समावेश गर्दछ:
- नियन्त्रण-प्रवाह समतलीकरण, अपारदर्शी भविष्यवाणी, र मिश्रित बुलियन-अंकगणितीय प्रविधिहरू सहित बहु अस्पष्ट तहहरू।
यी क्षमताहरूले स्थिर र गतिशील पत्ता लगाउने संयन्त्रहरूबाट बच्नको लागि जानाजानी र राम्रोसँग इन्जिनियर गरिएको दृष्टिकोण प्रदर्शन गर्दछ।
साइबर अपराध सञ्चालनमा क्यासलस्टीलरको बढ्दो उपस्थिति
CastleStealer एक .NET-आधारित जानकारी-चोरी गर्ने मालवेयर परिवार हो जुन हालै थप अभियानहरूमा देखा परेको छ। यो पहिले CastleLoader सँगसँगै ClickFix-शैलीको सामाजिक इन्जिनियरिङ लुर मार्फत वितरण गरिएको थियो जुन BackgroundFix भनेर चिनिने अपरेशनमा नि:शुल्क छवि-सम्पादन अनुप्रयोगको रूपमा प्रस्तुत गरिएको थियो। CastleLoader लाई GrayBravo को रूपमा ट्र्याक गरिएको खतरा गतिविधि क्लस्टरसँग जोडिएको छ।
महत्त्वपूर्ण सम्भावना भएको प्रारम्भिक चरणको खतरा
यद्यपि OXLOADER सञ्चालन तैनाथीको प्रारम्भिक चरणमा देखिन्छ, यसको प्राविधिक परिष्कारले रक्षकहरूबाट नजिकको ध्यानको माग गर्दछ। धेरै विशेषताहरूले यसको विकासकर्ताहरूद्वारा पर्याप्त लगानीलाई संकेत गर्दछ:
- व्यापक कोड अस्पष्टता र एन्टी-भर्चुअल-मेसिन सुरक्षाहरू।
- दुर्भावनापूर्ण बाइनरीहरू र अद्वितीय पेलोड स्टेजिङ प्रविधिहरू लुकाउन सौम्य देखिने कोडको प्रयोग।
यी डिजाइन विकल्पहरू पहिले नै प्रभावकारी साबित भइसकेका छन्, जसले गर्दा OXLOADER लाई स्थिर स्क्यानिङ इन्जिनहरू र स्वचालित विस्फोट वातावरणहरूमा कम पत्ता लगाउने दरहरू प्राप्त गर्न सक्षम बनाउँछ। फलस्वरूप, व्यापक पत्ता लगाउने हस्ताक्षरहरू र प्रतिरोधात्मक उपायहरू विकास हुनु अघि मालवेयरले हाल मूल्यवान परिचालन विन्डोबाट फाइदा लिन्छ।