Databáza hrozieb Malvér Škodlivý softvér OXLOADER

Škodlivý softvér OXLOADER

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú kampaň so škodlivým softvérom s označením REF8372, ktorá využíva doteraz nezdokumentovaný zavádzač škodlivého softvéru známy ako OXLOADER na nasadenie škodlivého softvéru CastleStealer, ktorý kradne informácie.

Operácia začína škodlivými reklamami Google, ktoré majú nalákať obete hľadajúce populárny softvér. Analýza naznačuje, že aktéri hrozby stojaci za kampaňou sú pravdepodobne rusky hovoriaci a finančne motivovaní. Toto hodnotenie je založené na zámernom vylúčení systémov nachádzajúcich sa v Spoločenstve nezávislých štátov (SNŠ) zo strany škodlivého softvéru, čo je taktika, ktorú často používajú kyberzločinecké skupiny pôsobiace v regióne.

Hoci reklamy kampane boli publikované pod overeným menom „ВОЛОДИМИР ТЕРЕЩЕНКО“ s údajným sídlom na Ukrajine, zostáva nejasné, či táto identita patrí samotným prevádzkovateľom, alebo či ide o kompromitovaný, zakúpený alebo vymyslený účet. Spoločnosť Google odstránila účet inzerenta a súvisiace kampane 14. mája 2026.

Manipulácia s vyhľadávačmi vedie obete na falošné softvérové stránky

Reťazec infekcie sa spustí, keď používatelia vyhľadávajú výrazy ako „lts verzia node.js“ prostredníctvom vyhľadávačov, ako je Google. Obete sú presmerované prostredníctvom sponzorovaných výsledkov na falošnú webovú stránku node-js.prentiva99.info, ktorá sa maskuje ako legitímny softvérový zdroj.

Používatelia interagujúci s podvodnou webovou stránkou sú vyzvaní na stiahnutie dávkového skriptu hostovaného na Storj, decentralizovanej platforme cloudového úložiska s otvoreným zdrojovým kódom. Zneužívanie legitímnych služieb, ako je Storj, zdôrazňuje rastúci trend medzi aktérmi hrozbami, ktorí sa čoraz viac spoliehajú na dôveryhodné platformy, aby obišli mechanizmy filtrovania reputácie domén a zabezpečenia.

Viacstupňový reťazec infekcie zakrýva škodlivú aktivitu

Spustenie stiahnutého dávkového súboru zobrazí falošného sprievodcu inštaláciou, ktorý vytvára ilúziu legitímnej inštalácie softvéru a zároveň tajne sťahuje ďalší balík OXLOADER zo Storj. Malvér sa načíta pomocou príkazu PowerShell a spustí sa s parametrom -Verb RunAs, čím sa vygeneruje výzva Kontrola používateľských kont systému Windows (UAC).

Útok následne využíva techniky bočného načítavania DLL súborov na spustenie škodlivej dynamicky linkovanej knižnice, ktorá dešifruje a spustí finálnu dátovú záťaž CastleStealer.

Pokročilé techniky úniku zvyšujú problémy s detekciou

OXLOADER obsahuje niekoľko sofistikovaných techník špeciálne navrhnutých na sťaženie analýzy a vyhnutie sa detekcii:

  • Viaceré vrstvy obfuskacie, vrátane sploštenia riadiaceho toku, nepriehľadných predikátov a zmiešaných boolovských aritmetických techník.
  • Samoupravujúce sa dešifrovacie rutiny, zneužívanie sekcie .reloc systému Windows na prípravu shellcode a mechanizmy anti-sandbox, ktoré bránia vykonávaniu vo virtualizovaných analytických prostrediach.

Tieto schopnosti demonštrujú premyslený a dobre navrhnutý prístup k vyhýbaniu sa statickým aj dynamickým detekčným mechanizmom.

Rastúca prítomnosť spoločnosti CastleStealer v operáciách kyberkriminality

CastleStealer je rodina malvéru založená na .NET, ktorý kradne informácie a nedávno sa objavil v ďalších kampaniach. Predtým bol distribuovaný spolu s CastleLoaderom prostredníctvom sociálneho inžinierstva v štýle ClickFix, ktoré sa vydávalo za bezplatnú aplikáciu na úpravu obrázkov v operácii známej ako BackgroundFix. CastleLoader bol prepojený s klastrom hrozieb sledovaným ako GrayBravo.

Hrozba v ranom štádiu s významným potenciálom

Hoci sa zdá, že OXLOADER je v počiatočných fázach operačného nasadenia, jeho technická sofistikovanosť si vyžaduje dôkladnú pozornosť obrancov. Niekoľko charakteristík naznačuje značné investície jeho vývojárov:

  • Rozsiahle zahmlievanie kódu a ochrana pred virtuálnymi strojmi.
  • Použitie neškodného kódu na maskovanie škodlivých binárnych súborov a jedinečných techník stagingovania užitočného zaťaženia.

Tieto dizajnové riešenia sa už ukázali ako účinné a umožňujú OXLOADER dosiahnuť nízku mieru detekcie v statických skenovacích enginoch a automatizovaných detonačných prostrediach. Vďaka tomu má malvér v súčasnosti cenné operačne okno predtým, ako sa vyvinú rozsiahle detekčné podpisy a protiopatrenia.

Načítava...