Programe malware OXLOADER

Cercetătorii în domeniul securității cibernetice au descoperit o nouă campanie de malware, denumită REF8372, care folosește un încărcător de malware nedocumentat anterior, cunoscut sub numele de OXLOADER, pentru a implementa malware-ul CastleStealer, care fură informații.

Operațiunea începe cu reclame Google rău intenționate, concepute pentru a atrage victimele care caută software popular. Analizele sugerează că actorii din spatele campaniei sunt probabil vorbitori de limbă rusă și motivați financiar. Această evaluare se bazează pe excluderea deliberată de către malware a sistemelor situate în Comunitatea Statelor Independente (CSI), o tactică utilizată frecvent de grupurile de infractori cibernetici care operează în regiune.

Deși reclamele campaniei au fost publicate sub numele verificat „ВОЛОДИМИР ТЕРЕЩЕНКО”, despre care se presupune că are sediul în Ucraina, rămâne neclar dacă această identitate aparține operatorilor înșiși sau reprezintă un cont compromis, achiziționat sau fabricat. Google a eliminat contul de agent de publicitate și campaniile asociate pe 14 mai 2026.

Manipularea motoarelor de căutare duce victimele către site-uri de software false

Lanțul de infectare este declanșat atunci când utilizatorii caută termeni precum „versiunea lts a node.js” prin motoare de căutare precum Google. Victimele sunt redirecționate prin rezultate sponsorizate către un site web contrafăcut, node-js.prentiva99.info, care se deghizează într-o resursă software legitimă.

Utilizatorii care interacționează cu site-ul web fraudulos sunt îndemnați să descarce un script batch găzduit pe Storj, o platformă de stocare în cloud descentralizată și open-source. Abuzul de servicii legitime, cum ar fi Storj, evidențiază o tendință crescândă în rândul actorilor de amenințare, care se bazează din ce în ce mai mult pe platforme de încredere pentru a ocoli mecanismele de filtrare a reputației domeniului și a securității.

Lanțul de infecții în mai multe etape ascunde activitatea rău intenționată

Executarea fișierului batch descărcat afișează un expert de instalare fals, creând iluzia unei configurări software legitime, în timp ce se descarcă pe ascuns sarcina utilă următoare, OXLOADER, de la Storj. Malware-ul este preluat printr-o comandă PowerShell și lansat cu parametrul -Verb RunAs, generând o solicitare de control al contului de utilizator Windows (UAC).

Atacul folosește ulterior tehnici de încărcare laterală DLL pentru a executa o bibliotecă de legături dinamice malițioasă, care decriptează și lansează sarcina utilă finală, CastleStealer.

Tehnicile avansate de evitare sporesc dificultățile de detectare

OXLOADER încorporează mai multe tehnici sofisticate concepute special pentru a împiedica analiza și a evita detectarea:

  • Mai multe straturi de ofuscare, inclusiv aplatizarea fluxului de control, predicate opace și tehnici booleene-aritmetice mixte.
  • Rutine de decriptare automodificabile, abuzul secțiunii Windows .reloc pentru staging-ul shellcode și mecanisme anti-sandbox care împiedică execuția în medii de analiză virtualizate.

Aceste capacități demonstrează o abordare deliberată și bine proiectată pentru evitarea atât a mecanismelor de detectare statice, cât și a celor dinamice.

Prezența crescândă a CastleStealer în operațiunile de criminalitate cibernetică

CastleStealer este o familie de programe malware bazate pe .NET care fură informații și care a apărut recent în campanii suplimentare. Anterior, a fost distribuită alături de CastleLoader printr-o momeală de inginerie socială în stil ClickFix, care se prezenta drept o aplicație gratuită de editare a imaginilor într-o operațiune cunoscută sub numele de BackgroundFix. CastleLoader a fost asociat cu clusterul de activități de amenințare urmărit ca GrayBravo.

Amenințare în stadiu incipient cu potențial semnificativ

Deși OXLOADER pare să se afle în stadiile incipiente ale implementării operaționale, sofisticarea sa tehnică necesită o atenție sporită din partea apărătorilor. Mai multe caracteristici indică investiții substanțiale din partea dezvoltatorilor săi:

  • Protecții extinse pentru ofuscarea codului și anti-mașini virtuale.
  • Utilizarea unui cod cu aspect benign pentru a masca fișiere binare malițioase și tehnici unice de staging a sarcinii utile.

Aceste alegeri de design s-au dovedit deja eficiente, permițând OXLOADER să obțină rate de detecție scăzute în motoarele de scanare statică și în mediile de detonare automată. Prin urmare, malware-ul beneficiază în prezent de o fereastră operațională valoroasă înainte de dezvoltarea unor semnături de detecție și contramăsuri pe scară largă.

Se încarcă...