OXLOADER-skadlig programvara
Cybersäkerhetsforskare har avslöjat en ny skadlig kampanj, betecknad REF8372, som använder en tidigare odokumenterad skadlig programvara kallad OXLOADER för att distribuera den informationsstjälande skadliga programvaran CastleStealer.
Operationen börjar med skadliga Google-annonser utformade för att locka offer som söker efter populär programvara. Analysen tyder på att hotaktörerna bakom kampanjen sannolikt är rysktalande och ekonomiskt motiverade. Denna bedömning baseras på skadlig programvaras avsiktliga uteslutning av system som finns inom Oberoende staters samvälde (OSS), en taktik som ofta används av cyberkriminella grupper som är verksamma i regionen.
Även om kampanjens annonser publicerades under det verifierade namnet 'ВОЛОДИМИР ТЕРЕЩЕНКО', som påstås vara baserat i Ukraina, är det fortfarande oklart om denna identitet tillhör operatörerna själva eller representerar ett komprometterat, köpt eller fabricerat konto. Google tog bort annonsörskontot och tillhörande kampanjer den 14 maj 2026.
Innehållsförteckning
Sökmotormanipulation leder offer till falska programvaruwebbplatser
Infektionskedjan utlöses när användare söker efter termer som "lts-version av node.js" via sökmotorer som Google. Offren omdirigeras via sponsrade resultat till en förfalskad webbplats, node-js.prentiva99.info, som utger sig för att vara en legitim programresurs.
Användare som interagerar med den bedrägliga webbplatsen uppmanas att ladda ner ett batchskript som finns på Storj, en decentraliserad och öppen källkodsbaserad molnlagringsplattform. Missbruket av legitima tjänster som Storj belyser en växande trend bland hotaktörer, som i allt högre grad förlitar sig på betrodda plattformar för att kringgå filtreringsmekanismer för domänrykte och säkerhet.
Flerstegsinfektionskedja döljer skadlig aktivitet
Körning av den nedladdade batchfilen visar en falsk installationsguide, vilket skapar illusionen av en legitim programvaruinstallation samtidigt som nästa stegs nyttolasten, OXLOADER, i hemlighet laddas ner från Storj. Skadlig programvara hämtas via ett PowerShell-kommando och startas med parametern -Verb RunAs, vilket genererar en Windows User Account Control (UAC)-prompt.
Attacken använder därefter DLL-sidladdningstekniker för att köra ett skadligt dynamiskt länkbibliotek, vilket dekrypterar och startar den slutliga nyttolasten, CastleStealer.
Avancerade undanmanövreringstekniker ökar utmaningarna med upptäckt
OXLOADER innehåller flera sofistikerade tekniker som är specifikt utformade för att hindra analys och undvika upptäckt:
- Flera obfuskeringslager, inklusive kontrollflödesutjämning, ogenomskinliga predikat och blandade booleska-aritmetiska tekniker.
- Självmodifierande dekrypteringsrutiner, missbruk av Windows .reloc-sektionen för shellcode-staging och anti-sandbox-mekanismer som förhindrar körning i virtualiserade analysmiljöer.
Dessa funktioner visar på en avsiktlig och välkonstruerad metod för att undvika både statiska och dynamiska detekteringsmekanismer.
CastleStealers växande närvaro inom cyberbrottsoperationer
CastleStealer är en .NET-baserad familj av informationsstöldprogram som nyligen har dykt upp i ytterligare kampanjer. Den distribuerades tidigare tillsammans med CastleLoader genom ett ClickFix-liknande social engineering-lockbete som utgav sig för att vara ett gratis bildredigeringsprogram i en operation som kallas BackgroundFix. CastleLoader har kopplats till hotaktivitetsklustret som spåras som GrayBravo.
Tidigt hot med betydande potential
Även om OXLOADER verkar vara i ett tidigt skede av operativ driftsättning, kräver dess tekniska sofistikering noggrann uppmärksamhet från försvararna. Flera egenskaper tyder på betydande investeringar från dess utvecklare:
- Omfattande kodförvirring och skydd mot virtuella maskiner.
- Användning av godartad kod för att dölja skadliga binärfiler och unika tekniker för att staga nyttolast.
Dessa designval har redan visat sig vara effektiva och har gjort det möjligt för OXLOADER att uppnå låga detekteringsgrader i både statiska skanningsmotorer och automatiserade detonationsmiljöer. Som ett resultat drar den skadliga programvaran för närvarande nytta av ett värdefullt operativt fönster innan omfattande detekteringssignaturer och motåtgärder utvecklas.