Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe OXLOADER

Oprogramowanie złośliwe OXLOADER

Badacze zajmujący się bezpieczeństwem cybernetycznym odkryli nową kampanię złośliwego oprogramowania, oznaczoną jako REF8372, w której wykorzystano nieudokumentowany wcześniej program ładujący złośliwe oprogramowanie o nazwie OXLOADER w celu wdrożenia złośliwego oprogramowania CastleStealer kradnącego informacje.

Operacja rozpoczyna się od złośliwych reklam Google, mających na celu zwabienie ofiar poszukujących popularnego oprogramowania. Analiza sugeruje, że osoby stojące za tą kampanią są prawdopodobnie rosyjskojęzyczne i motywowane finansowo. Ocena ta opiera się na celowym wykluczaniu przez złośliwe oprogramowanie systemów zlokalizowanych we Wspólnocie Niepodległych Państw (WNP), co jest taktyką często stosowaną przez grupy cyberprzestępcze działające w tym regionie.

Chociaż reklamy kampanii zostały opublikowane pod zweryfikowaną nazwą „ВОЛОДИМИР ТЕРЕЩЕНКО”, rzekomo z siedzibą na Ukrainie, nie jest jasne, czy ta tożsamość należy do samych operatorów, czy też reprezentuje przejęte, zakupione lub sfabrykowane konto. Google usunęło konto reklamodawcy i powiązane z nim kampanie 14 maja 2026 r.

Manipulacja wyszukiwarką prowadzi ofiary do fałszywych witryn z oprogramowaniem

Łańcuch infekcji uruchamia się, gdy użytkownicy wyszukują w wyszukiwarkach takich jak Google hasła takie jak „wersja lts node.js”. Ofiary są przekierowywane poprzez sponsorowane wyniki na fałszywą stronę internetową node-js.prentiva99.info, podszywającą się pod legalne źródło oprogramowania.

Użytkownicy wchodzący na fałszywą stronę internetową są zachęcani do pobrania skryptu wsadowego hostowanego na platformie Storj, zdecentralizowanej i otwartej platformie do przechowywania danych w chmurze. Nadużywanie legalnych usług, takich jak Storj, uwydatnia rosnący trend wśród cyberprzestępców, którzy coraz częściej polegają na zaufanych platformach, aby ominąć mechanizmy filtrowania reputacji domeny i zabezpieczeń.

Wieloetapowy łańcuch infekcji ukrywa złośliwą aktywność

Uruchomienie pobranego pliku wsadowego wyświetla fałszywy kreator instalacji, stwarzając iluzję legalnego oprogramowania, jednocześnie potajemnie pobierając ładunek kolejnego etapu, OXLOADER, ze Storj. Szkodliwe oprogramowanie jest pobierane za pomocą polecenia programu PowerShell i uruchamiane z parametrem -Verb RunAs, generując monit Kontroli konta użytkownika (UAC) systemu Windows.

Następnie atak wykorzystuje techniki bocznego ładowania bibliotek DLL w celu uruchomienia złośliwej biblioteki DLL, która odszyfrowuje i uruchamia końcowy ładunek, CastleStealer.

Zaawansowane techniki unikania zwiększają wyzwania związane z wykrywaniem

OXLOADER wykorzystuje kilka zaawansowanych technik zaprojektowanych specjalnie w celu utrudnienia analizy i uniknięcia wykrycia:

  • Wiele warstw zaciemniania, w tym spłaszczanie przepływu sterowania, nieprzejrzyste predykaty i mieszane techniki arytmetyczne i boolowskie.
  • Samomodyfikujące się procedury odszyfrowywania, nadużywanie sekcji .reloc systemu Windows do tymczasowego przechowywania kodu powłoki oraz mechanizmy anty-sandbox, które uniemożliwiają wykonywanie operacji w środowiskach analizy wirtualnej.

Możliwości te stanowią przemyślany i dobrze zaprojektowany sposób unikania zarówno statycznych, jak i dynamicznych mechanizmów wykrywania.

Rosnąca obecność CastleStealer w operacjach cyberprzestępczych

CastleStealer to rodzina złośliwego oprogramowania opartego na platformie .NET, służącego do kradzieży informacji, która ostatnio pojawiła się w kolejnych kampaniach. Wcześniej była dystrybuowana wraz z CastleLoaderem za pomocą przynęty socjotechnicznej w stylu ClickFix, podszywającej się pod darmową aplikację do edycji obrazów w ramach operacji o nazwie BackgroundFix. CastleLoader został powiązany z klastrem zagrożeń śledzonym jako GrayBravo.

Wczesne zagrożenie o znacznym potencjale

Chociaż OXLOADER wydaje się być na wczesnym etapie wdrażania operacyjnego, jego zaawansowanie techniczne zasługuje na szczególną uwagę ze strony obrońców. Kilka cech wskazuje na znaczne inwestycje ze strony jego twórców:

  • Rozbudowane zaciemnianie kodu i zabezpieczenia przed maszynami wirtualnymi.
  • Wykorzystanie kodu wyglądającego nieszkodliwie w celu ukrycia złośliwych plików binarnych i unikalnych technik przygotowywania ładunku.

Te rozwiązania projektowe okazały się już skuteczne, umożliwiając OXLOADERowi osiągnięcie niskich wskaźników wykrywalności w statycznych silnikach skanujących i zautomatyzowanych środowiskach detonacyjnych. W rezultacie złośliwe oprogramowanie korzysta obecnie z cennego okna operacyjnego, zanim zostaną opracowane powszechne sygnatury wykrywania i środki zaradcze.

Najczęściej oglądane

Ładowanie...