Тхреат Датабасе Малваре OXLOADER Злонамерни софтвер

OXLOADER Злонамерни софтвер

Истраживачи сајбер безбедности открили су нову кампању злонамерног софтвера, означену као REF8372, која користи раније недокументовани програм за учитавање злонамерног софтвера познат као OXLOADER за распоређивање злонамерног софтвера за крађу информација CastleStealer.

Операција почиње злонамерним Google огласима осмишљеним да привуку жртве које траже популаран софтвер. Анализа сугерише да су актери претње који стоје иза кампање вероватно руски говорници и да су финансијски мотивисани. Ова процена се заснива на намерном искључењу система који се налазе унутар Заједнице независних држава (ЗНД) од стране злонамерног софтвера, тактици коју често користе сајбер криминалне групе које делују у региону.

Иако су огласи кампање објављени под верификованим именом „ВОЛОДИМИР ТЕРЕЩЕНКО“, наводно са седиштем у Украјини, остаје нејасно да ли овај идентитет припада самим оператерима или представља угрожен, купљен или измишљен налог. Гугл је уклонио налог оглашивача и повезане кампање 14. маја 2026. године.

Манипулација претраживачима води жртве до лажних сајтова са софтвером

Ланац инфекције се покреће када корисници претражују термине као што је „lts version of node.js“ путем претраживача попут Google-а. Жртве се преусмеравају путем спонзорисаних резултата на лажни веб-сајт, node-js.prentiva99.info, који се маскира као легитиман софтверски ресурс.

Корисници који интерагују са преварантским веб-сајтом се подстичу да преузму пакетни скрипт који се налази на Storj-у, децентрализованој платформи за складиштење података у облаку отвореног кода. Злоупотреба легитимних сервиса као што је Storj истиче растући тренд међу актерима претњи, који се све више ослањају на поуздане платформе како би заобишли механизме филтрирања репутације домена и безбедности.

Вишестепени ланац инфекције прикрива злонамерну активност

Извршавање преузете пакетне датотеке приказује лажни чаробњак за инсталацију, стварајући илузију легитимне инсталације софтвера док се прикривено преузима следећи корисни терет, OXLOADER, са Storj-а. Злонамерни софтвер се преузима помоћу PowerShell команде и покреће се са параметром -Verb RunAs, генеришући Windows промпт за контролу корисничких налога (UAC).

Напад потом користи технике бочног учитавања DLL-а да би извршио злонамерну библиотеку динамичких веза, која дешифрује и покреће коначни корисни терет, CastleStealer.

Напредне технике избегавања повећавају изазове откривања

OXLOADER укључује неколико софистицираних техника посебно дизајнираних да отежавају анализу и избегну откривање:

  • Вишеструки слојеви обфускације, укључујући изравнавање контролног тока, непрозирне предикате и мешовите технике Булове аритметике.
  • Самомодификујуће рутине за дешифровање, злоупотреба Windows .reloc секције за припрему шел кода и анти-пешчани механизми који спречавају извршавање у виртуелизованим окружењима за анализу.

Ове могућности демонстрирају промишљен и добро осмишљен приступ избегавању и статичких и динамичких механизама детекције.

Растуће присуство компаније CastleStealer у операцијама сајбер криминала

CastleStealer је породица злонамерних програма за крађу информација заснована на .NET-у, која се недавно појавила у додатним кампањама. Раније је дистрибуирана заједно са CastleLoader-ом путем мамца за социјални инжењеринг у стилу ClickFix-а који се представљао као бесплатна апликација за уређивање слика у операцији познатој као BackgroundFix. CastleLoader је повезан са кластером претњи праћеним као GrayBravo.

Претња у раној фази са значајним потенцијалом

Иако се чини да је OXLOADER у раним фазама оперативног распоређивања, његова техничка софистицираност захтева пажњу заштитника. Неколико карактеристика указује на значајна улагања његових програмера:

  • Опсежна обфускација кода и заштита од виртуелних машина.
  • Коришћење кода доброћудног изгледа за прикривање злонамерних бинарних датотека и јединствених техника постављања корисног оптерећења.

Ови дизајнерски избори су се већ показали ефикасним, омогућавајући OXLOADER-у да постигне ниске стопе детекције у статичким скенирајућим системима и аутоматизованим окружењима за детонацију. Као резултат тога, злонамерни софтвер тренутно има користи од драгоценог оперативног прозора пре него што се развију широко распрострањени потписи за детекцију и контрамере.

Учитавање...