OXLOADER Malware
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të re malware-i, të përcaktuar si REF8372, që përdor një ngarkues malware-i të padokumentuar më parë të njohur si OXLOADER për të vendosur malware-in që vjedh informacion CastleStealer.
Operacioni fillon me reklama keqdashëse të Google, të dizajnuara për të joshur viktimat që kërkojnë softuerë të njohur. Analiza sugjeron që aktorët kërcënues pas fushatës ka të ngjarë të jenë rusishtfolës dhe të motivuar financiarisht. Ky vlerësim bazohet në përjashtimin e qëllimshëm nga programi keqdashës të sistemeve të vendosura brenda Komonuelthit të Shteteve të Pavarura (CIS), një taktikë e përdorur shpesh nga grupet kiberkriminale që veprojnë në rajon.
Edhe pse reklamat e fushatës u botuan nën emrin e verifikuar 'ВОЛОДИМИР ТЕРЕЩЕНКО', që dyshohet se ndodhet në Ukrainë, mbetet e paqartë nëse ky identitet i përket vetë operatorëve apo përfaqëson një llogari të kompromentuar, të blerë ose të sajuar. Google hoqi llogarinë e reklamuesit dhe fushatat e lidhura me të më 14 maj 2026.
Tabela e Përmbajtjes
Manipulimi i motorëve të kërkimit i çon viktimat në faqe të rreme softuerësh
Zinxhiri i infeksionit aktivizohet kur përdoruesit kërkojnë terma të tillë si 'versioni lts i node.js' përmes motorëve të kërkimit si Google. Viktimat ridrejtohen përmes rezultateve të sponsorizuara në një faqe interneti të falsifikuar, node-js.prentiva99.info, e cila maskohet si një burim legjitim softuerësh.
Përdoruesve që bashkëveprojnë me faqen mashtruese të internetit u kërkohet të shkarkojnë një skript batch të vendosur në Storj, një platformë e decentralizuar dhe me burim të hapur për ruajtjen e të dhënave në cloud. Abuzimi i shërbimeve legjitime si Storj nxjerr në pah një trend në rritje midis aktorëve kërcënues, të cilët mbështeten gjithnjë e më shumë në platforma të besueshme për të anashkaluar mekanizmat e reputacionit të domenit dhe filtrimit të sigurisë.
Zinxhiri i infeksionit shumëfazor fsheh aktivitetin keqdashës
Ekzekutimi i skedarit të shkarkuar të grupit shfaq një asistent instalimi të rremë, duke krijuar iluzionin e një konfigurimi të ligjshëm të softuerit, ndërsa shkarkon fshehurazi ngarkesën e fazës tjetër, OXLOADER, nga Storj. Malware merret përmes një komande PowerShell dhe lëshohet me parametrin -Verb RunAs, duke gjeneruar një kërkesë për Kontrollin e Llogarisë së Përdoruesit të Windows (UAC).
Sulmi më pas përdor teknikat e ngarkimit anësor të DLL për të ekzekutuar një bibliotekë me lidhje dinamike dashakeqe, e cila dekripton dhe nis ngarkesën përfundimtare, CastleStealer.
Teknikat e Avancuara të Shmangies Rritin Sfidat e Zbulimit
OXLOADER përfshin disa teknika të sofistikuara të projektuara posaçërisht për të penguar analizën dhe për të shmangur zbulimin:
- Shtresa të shumëfishta të mjegullimit, duke përfshirë rrafshimin e rrjedhës së kontrollit, predikatet e errëta dhe teknikat e përziera Boolean-Aritmetike.
- Rutinat e deshifrimit vetë-modifikuese, abuzimi me seksionin .reloc të Windows për konfigurimin e shellcode dhe mekanizmat anti-sandbox që parandalojnë ekzekutimin në mjedise analize të virtualizuara.
Këto aftësi demonstrojnë një qasje të qëllimshme dhe të projektuar mirë për të shmangur mekanizmat statikë dhe dinamikë të zbulimit.
Prania në rritje e CastleStealer në operacionet e krimit kibernetik
CastleStealer është një familje programesh keqdashëse për vjedhje informacioni të bazuara në .NET, e cila është shfaqur së fundmi në fushata të tjera. Më parë është shpërndarë së bashku me CastleLoader përmes një karremi inxhinierie sociale në stilin ClickFix, i cili paraqitej si një aplikacion falas për redaktimin e imazheve në një operacion të njohur si BackgroundFix. CastleLoader është lidhur me grumbullin e aktivitetit të kërcënimeve të gjurmuar si GrayBravo.
Kërcënim në fazë të hershme me potencial të konsiderueshëm
Edhe pse OXLOADER duket se është në fazat e hershme të vendosjes operacionale, sofistikimi i tij teknik meriton vëmendje të madhe nga mbrojtësit. Disa karakteristika tregojnë investime të konsiderueshme nga zhvilluesit e tij:
- Mbulim i gjerë i kodit dhe mbrojtje kundër makinave virtuale.
- Përdorimi i kodit me pamje të mirë për të maskuar skedarët binare keqdashës dhe teknikat unike të skedimit të ngarkesës.
Këto zgjedhje dizajni kanë rezultuar tashmë efektive, duke i mundësuar OXLOADER të arrijë shkallë të ulëta zbulimi në motorët statikë të skanimit dhe mjediset e automatizuara të shpërthimit. Si rezultat, programi keqdashës aktualisht përfiton nga një dritare e vlefshme operacionale përpara se të zhvillohen nënshkrime të zbulimit dhe kundërmasa të përhapura.