OXLOADER-malware
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe malwarecampagne ontdekt, aangeduid als REF8372, die gebruikmaakt van een voorheen ongedocumenteerde malwareloader genaamd OXLOADER om de informatie-stelende malware CastleStealer te verspreiden.
De operatie begint met kwaadaardige Google-advertenties die bedoeld zijn om slachtoffers te lokken die op zoek zijn naar populaire software. Analyse wijst uit dat de daders achter de campagne waarschijnlijk Russisch spreken en financieel gemotiveerd zijn. Deze inschatting is gebaseerd op het feit dat de malware systemen binnen het Gemenebest van Onafhankelijke Staten (GOS) opzettelijk uitsluit, een tactiek die vaak wordt gebruikt door cybercriminele groepen die in de regio actief zijn.
Hoewel de advertenties van de campagne werden gepubliceerd onder de geverifieerde naam 'ВОЛОДИМИР ТЕРЕЩЕНКО', die naar verluidt in Oekraïne gevestigd was, blijft het onduidelijk of deze identiteit daadwerkelijk van de beheerders zelf is of een gehackt, gekocht of verzonnen account betreft. Google verwijderde het adverteerdersaccount en de bijbehorende campagnes op 14 mei 2026.
Inhoudsopgave
Door manipulatie van zoekmachines worden slachtoffers naar nepsoftwarewebsites geleid.
De infectieketen wordt in gang gezet wanneer gebruikers via zoekmachines zoals Google zoeken naar termen als 'lts-versie van node.js'. Slachtoffers worden via gesponsorde resultaten doorgestuurd naar een nepwebsite, node-js.prentiva99.info, die zich voordoet als een legitieme softwarebron.
Gebruikers die de frauduleuze website bezoeken, worden gevraagd een batchscript te downloaden dat wordt gehost op Storj, een gedecentraliseerd en open-source cloudopslagplatform. Het misbruik van legitieme diensten zoals Storj benadrukt een groeiende trend onder cybercriminelen, die steeds vaker vertrouwde platforms gebruiken om domeinreputatie en beveiligingsfilters te omzeilen.
De meertraps infectieketen verbergt kwaadwillige activiteiten.
Het uitvoeren van het gedownloade batchbestand toont een nep-installatiewizard, waardoor de illusie van een legitieme software-installatie wordt gewekt, terwijl in werkelijkheid stiekem de volgende payload, OXLOADER, van Storj wordt gedownload. De malware wordt opgehaald via een PowerShell-opdracht en gestart met de parameter -Verb RunAs, wat een prompt van Windows Gebruikersaccountbeheer (UAC) genereert.
De aanval maakt vervolgens gebruik van DLL-sideloadingtechnieken om een kwaadaardige dynamische linkbibliotheek uit te voeren, die de uiteindelijke payload, CastleStealer, decodeert en start.
Geavanceerde ontwijkingstechnieken vergroten de opsporingsuitdaging.
OXLOADER maakt gebruik van diverse geavanceerde technieken die specifiek zijn ontworpen om analyse te bemoeilijken en detectie te ontwijken:
- Meerdere lagen van verhulling, waaronder het afvlakken van de controlestroom, ondoorzichtige predicaten en gemengde Booleaanse-rekenkundige technieken.
Deze mogelijkheden tonen een weloverwogen en goed doordachte aanpak om zowel statische als dynamische detectiemechanismen te omzeilen.
De groeiende aanwezigheid van CastleStealer in cybercriminaliteitsoperaties
CastleStealer is een op .NET gebaseerde malwarefamilie die informatie steelt en recentelijk in nieuwe campagnes is opgedoken. Eerder werd het samen met CastleLoader verspreid via een social engineering-truc in de stijl van ClickFix, die zich voordeed als een gratis beeldbewerkingsprogramma in een operatie genaamd BackgroundFix. CastleLoader is gelinkt aan het dreigingscluster GrayBravo.
Dreiging in een vroeg stadium met aanzienlijk potentieel
Hoewel OXLOADER zich nog in de beginfase van de operationele inzet lijkt te bevinden, rechtvaardigt de technische geavanceerdheid ervan nauwlettende aandacht van de defensiemachten. Verschillende kenmerken wijzen op aanzienlijke investeringen door de ontwikkelaars:
- Uitgebreide code-obfuscatie en bescherming tegen virtual machines.
- Het gebruik van onschuldig ogende code om kwaadaardige binaire bestanden te maskeren en unieke technieken voor het voorbereiden van de payload.
Deze ontwerpkeuzes hebben zich al bewezen als effectief, waardoor OXLOADER lage detectiepercentages behaalt in zowel statische scanengines als geautomatiseerde testomgevingen. Hierdoor profiteert de malware momenteel van een waardevolle operationele periode voordat er op grote schaal detectiesignaturen en tegenmaatregelen worden ontwikkeld.