Zlonamerna programska oprema OXLOADER
Raziskovalci kibernetske varnosti so odkrili novo kampanjo zlonamerne programske opreme z oznako REF8372, ki uporablja prej nedokumentiran nalagalnik zlonamerne programske opreme, znan kot OXLOADER, za namestitev zlonamerne programske opreme CastleStealer, ki krade informacije.
Operacija se začne z zlonamernimi oglasi v Googlu, namenjenimi privabljanju žrtev, ki iščejo priljubljeno programsko opremo. Analiza kaže, da so akterji grožnje, ki stojijo za kampanjo, verjetno rusko govoreči in finančno motivirani. Ta ocena temelji na namernem izključevanju sistemov, ki se nahajajo v Skupnosti neodvisnih držav (SND), s strani zlonamerne programske opreme, kar je taktika, ki jo pogosto uporabljajo kibernetske kriminalne skupine, ki delujejo v regiji.
Čeprav so bili oglasi kampanje objavljeni pod preverjenim imenom »ВОЛОДИМИР ТЕРЕЩЕНКО«, domnevno s sedežem v Ukrajini, ostaja nejasno, ali ta identiteta pripada samim operaterjem ali pa predstavlja ogrožen, kupljen ali izmišljen račun. Google je 14. maja 2026 odstranil oglaševalski račun in povezane kampanje.
Kazalo
Manipulacija iskalnikov vodi žrtve na lažna spletna mesta s programsko opremo
Veriga okužbe se sproži, ko uporabniki prek iskalnikov, kot je Google, iščejo izraze, kot je »zadnja različica node.js«. Žrtve so prek sponzoriranih rezultatov preusmerjene na ponarejeno spletno mesto node-js.prentiva99.info, ki se maskira kot legitimni programski vir.
Uporabniki, ki komunicirajo z goljufivim spletnim mestom, so pozvani, da prenesejo paketni skript, ki gostuje na Storju, decentralizirani platformi za shranjevanje v oblaku z odprto kodo. Zloraba legitimnih storitev, kot je Storj, poudarja naraščajoč trend med akterji grožnje, ki se vse bolj zanašajo na zaupanja vredne platforme, da bi obšli mehanizme filtriranja ugleda domen in varnosti.
Večstopenjska veriga okužbe prikriva zlonamerno dejavnost
Izvajanje prenesene paketne datoteke prikaže lažnega čarovnika za namestitev, ki ustvari iluzijo legitimne namestitve programske opreme, medtem ko prikrito prenese naslednji koristni tovor, OXLOADER, iz Storja. Zlonamerna programska oprema se pridobi z ukazom PowerShell in zažene s parametrom -Verb RunAs, kar ustvari poziv za nadzor uporabniškega računa sistema Windows (UAC).
Napad nato uporablja tehnike stranskega nalaganja DLL za izvajanje zlonamerne knjižnice dinamičnih povezav, ki dešifrira in zažene končni koristni naklad, CastleStealer.
Napredne tehnike izogibanja povečujejo izzive pri odkrivanju
OXLOADER vključuje več sofisticiranih tehnik, posebej zasnovanih za oviranje analize in izogibanje odkrivanju:
- Več plasti zakrivanja, vključno s sploščevanjem krmilnega toka, neprozornimi predikati in mešanimi Booleovimi aritmetičnimi tehnikami.
- Samospreminjajoče se rutine za dešifriranje, zloraba razdelka Windows .reloc za pripravo lupinske kode in mehanizmi proti peskovniku, ki preprečujejo izvajanje v virtualiziranih analitičnih okoljih.
Te zmogljivosti dokazujejo premišljen in dobro zasnovan pristop k izogibanju tako statičnim kot dinamičnim mehanizmom zaznavanja.
Naraščajoča prisotnost CastleStealerja v operacijah kibernetske kriminalitete
CastleStealer je družina zlonamerne programske opreme, ki temelji na .NET-u in krade informacije, ter se je pred kratkim pojavila v dodatnih kampanjah. Pred tem se je distribuirala skupaj s CastleLoaderjem prek vabe za socialni inženiring v slogu ClickFixa, ki se je v operaciji, znani kot BackgroundFix, izdajala za brezplačno aplikacijo za urejanje slik. CastleLoader je bil povezan z grozdenjem, ki je bilo zasledovano kot GrayBravo.
Grožnja v zgodnji fazi z velikim potencialom
Čeprav se zdi, da je OXLOADER v zgodnjih fazah operativnega uvajanja, njegova tehnična dovršenost zahteva pozorno pozornost zagovornikov. Več značilnosti kaže na znatne naložbe njegovih razvijalcev:
- Obsežno zakrivanje kode in zaščita pred virtualnimi stroji.
- Uporaba neškodljive kode za prikrivanje zlonamernih binarnih datotek in edinstvenih tehnik priprave koristnega tovora.
Te oblikovalske odločitve so se že izkazale za učinkovite in omogočajo OXLOADER-ju, da doseže nizke stopnje zaznavanja v statičnih skenirajočih mehanizmih in okoljih z avtomatizirano detonacijo. Posledično ima zlonamerna programska oprema trenutno dragoceno operativno okno, preden se razvijejo široko razširjeni podpisi zaznavanja in protiukrepi.