База данных угроз Вредоносное ПО Вредоносная программа OXLOADER

Вредоносная программа OXLOADER

Исследователи в области кибербезопасности обнаружили новую вредоносную кампанию, получившую обозначение REF8372, которая использует ранее не описанный загрузчик вредоносных программ, известный как OXLOADER, для развертывания вредоносной программы CastleStealer, предназначенной для кражи информации.

Операция начинается со вредоносной рекламы Google, предназначенной для привлечения жертв, ищущих популярное программное обеспечение. Анализ показывает, что злоумышленники, стоящие за этой кампанией, скорее всего, русскоязычны и преследуют финансовые мотивы. Эта оценка основана на преднамеренном исключении системами, расположенными в странах СНГ, тактики, часто используемой киберпреступными группами, действующими в регионе.

Хотя рекламные объявления в рамках кампании были опубликованы под проверенным именем «ВОЛОДИМИР ТЕРЕЩЕНКО», предположительно зарегистрированным в Украине, остается неясным, принадлежит ли это имя самим операторам или представляет собой скомпрометированный, купленный или сфабрикованный аккаунт. Google удалил аккаунт рекламодателя и связанные с ним кампании 14 мая 2026 года.

Манипулирование поисковыми системами приводит жертв на сайты, распространяющие поддельное программное обеспечение.

Цепочка заражения запускается, когда пользователи ищут в поисковых системах, таких как Google, термины типа «lts-версия node.js». Жертвы перенаправляются через спонсируемые результаты на поддельный веб-сайт node-js.prentiva99.info, маскирующийся под легитимный ресурс программного обеспечения.

Пользователям, взаимодействующим с мошенническим сайтом, предлагается загрузить пакетный скрипт, размещенный на Storj, децентрализованной платформе облачного хранения данных с открытым исходным кодом. Злоупотребление легитимными сервисами, такими как Storj, подчеркивает растущую тенденцию среди злоумышленников, которые все чаще полагаются на доверенные платформы для обхода механизмов проверки репутации доменов и фильтрации безопасности.

Многоступенчатая цепочка заражения скрывает вредоносную деятельность.

Запуск загруженного пакетного файла отображает поддельный мастер установки, создавая иллюзию легитимной установки программного обеспечения, одновременно скрытно загружая следующую полезную нагрузку, OXLOADER, из Storj. Вредоносное ПО загружается с помощью команды PowerShell и запускается с параметром -Verb RunAs, генерируя запрос контроля учетных записей пользователей Windows (UAC).

Впоследствии в атаке используются методы боковой загрузки DLL-библиотек для выполнения вредоносной динамически подключаемой библиотеки, которая расшифровывает и запускает конечную полезную нагрузку — CastleStealer.

Усовершенствованные методы уклонения от преследования усложняют задачу обнаружения.

OXLOADER использует несколько сложных методов, специально разработанных для того, чтобы затруднить анализ и избежать обнаружения:

  • Многоуровневая обфускация, включающая сглаживание потока управления, непрозрачные предикаты и смешанные булево-арифметические методы.
  • Самоизменяющиеся процедуры расшифровки, злоупотребление разделом .reloc Windows для подготовки шеллкода и механизмы защиты от песочницы, препятствующие выполнению в виртуализированных средах анализа.

Эти возможности демонстрируют преднамеренный и хорошо продуманный подход к обходу как статических, так и динамических механизмов обнаружения.

Растущее присутствие CastleStealer в операциях по борьбе с киберпреступностью

CastleStealer — это семейство вредоносных программ, использующих .NET для кражи информации, которое недавно появилось в дополнительных кампаниях. Ранее оно распространялось вместе с CastleLoader через приманку в стиле социальной инженерии ClickFix, которая выдавала себя за бесплатное приложение для редактирования изображений в рамках операции, известной как BackgroundFix. CastleLoader связан с кластером угроз, отслеживаемым как GrayBravo.

Угроза на ранней стадии с существенным потенциалом

Хотя OXLOADER, по всей видимости, находится на ранней стадии оперативного развертывания, его техническая сложность заслуживает пристального внимания со стороны сил обороны. Ряд характеристик указывает на значительные инвестиции со стороны его разработчиков:

  • Обширная защита от обфускации кода и атак с использованием виртуальных машин.
  • Использование внешне безобидного кода для маскировки вредоносных исполняемых файлов и уникальных методов подготовки полезной нагрузки.

Эти конструктивные решения уже доказали свою эффективность, позволив OXLOADER достигать низких показателей обнаружения как в системах статического сканирования, так и в средах автоматического подрыва. В результате, вредоносная программа в настоящее время имеет ценное операционное окно, прежде чем будут разработаны широко распространенные сигнатуры обнаружения и контрмеры.

Наиболее просматриваемые

Загрузка...