OXLOADER தீம்பொருள்
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், REF8372 எனப் பெயரிடப்பட்ட ஒரு புதிய தீம்பொருள் பிரச்சாரத்தைக் கண்டறிந்துள்ளனர். இது, CastleStealer என்ற தகவல் திருடும் தீம்பொருளைப் பரப்புவதற்காக, OXLOADER எனப்படும், இதுவரை ஆவணப்படுத்தப்படாத ஒரு தீம்பொருள் ஏற்றியைப் பயன்படுத்துகிறது.
பிரபலமான மென்பொருளைத் தேடும் பாதிக்கப்பட்டவர்களை ஈர்க்கும் வகையில் வடிவமைக்கப்பட்ட தீங்கிழைக்கும் கூகுள் விளம்பரங்களுடன் இந்தச் செயல்பாடு தொடங்குகிறது. இந்த நடவடிக்கையின் பின்னணியில் உள்ள அச்சுறுத்தல் சக்திகள் ரஷ்ய மொழி பேசுபவர்களாகவும், நிதி ஆதாயத்தை நோக்கமாகக் கொண்டவர்களாகவும் இருக்க வாய்ப்புள்ளது என்று பகுப்பாய்வு தெரிவிக்கிறது. இந்தப் பிராந்தியத்தில் செயல்படும் இணையக் குற்றக் குழுக்கள் அடிக்கடி பயன்படுத்தும் ஒரு தந்திரமான, சுதந்திர நாடுகளின் கூட்டமைப்பிற்குள் (CIS) அமைந்துள்ள கணினிகளை இந்த மால்வேர் வேண்டுமென்றே தவிர்ப்பதை அடிப்படையாகக் கொண்டு இந்த மதிப்பீடு செய்யப்பட்டுள்ளது.
இந்தப் பிரச்சாரத்தின் விளம்பரங்கள், உக்ரைனைத் தளமாகக் கொண்டதாகக் கூறப்படும் 'ВОЛОДИМИР ТЕРЕЩЕНКО' என்ற சரிபார்க்கப்பட்ட பெயரில் வெளியிடப்பட்டிருந்தாலும், இந்த அடையாளம் அதை இயக்குபவர்களுக்கே சொந்தமானதா அல்லது அது சமரசம் செய்யப்பட்ட, வாங்கப்பட்ட அல்லது போலியாக உருவாக்கப்பட்ட கணக்கா என்பது தெளிவாகத் தெரியவில்லை. கூகிள், மே 14, 2026 அன்று அந்த விளம்பரதாரர் கணக்கையும் அதனுடன் தொடர்புடைய பிரச்சாரங்களையும் நீக்கியது.
பொருளடக்கம்
தேடுபொறி கையாளுதல் பாதிக்கப்பட்டவர்களை போலி மென்பொருள் தளங்களுக்கு இட்டுச் செல்கிறது.
பயனர்கள் கூகிள் போன்ற தேடுபொறிகளில் 'lts version of node.js' போன்ற சொற்களைத் தேடும்போது இந்தத் தொற்றுச் சங்கிலி தூண்டப்படுகிறது. பாதிக்கப்பட்டவர்கள், விளம்பர முடிவுகள் மூலம், ஒரு முறையான மென்பொருள் ஆதாரம் போல் பாசாங்கு செய்யும் node-js.prentiva99.info என்ற போலி இணையதளத்திற்குத் திருப்பி விடப்படுகிறார்கள்.
மோசடி இணையதளத்துடன் தொடர்பு கொள்ளும் பயனர்கள், பரவலாக்கப்பட்ட மற்றும் திறந்த மூல கிளவுட் சேமிப்புத் தளமான ஸ்டோர்ஜில் (Storj) உள்ள ஒரு பேட்ச் ஸ்கிரிப்டைப் பதிவிறக்குமாறு கேட்கப்படுகிறார்கள். ஸ்டோர்ஜ் போன்ற முறையான சேவைகளின் தவறான பயன்பாடு, அச்சுறுத்தல் செய்பவர்களிடையே வளர்ந்து வரும் ஒரு போக்கை எடுத்துக்காட்டுகிறது; அவர்கள் டொமைன் நற்பெயர் மற்றும் பாதுகாப்பு வடிகட்டுதல் வழிமுறைகளைத் தவிர்ப்பதற்காக நம்பகமான தளங்களை அதிகளவில் சார்ந்துள்ளனர்.
பல-கட்ட தொற்றுச் சங்கிலி தீங்கிழைக்கும் செயல்பாட்டை மறைக்கிறது
பதிவிறக்கம் செய்யப்பட்ட பேட்ச் கோப்பை இயக்கும்போது, ஒரு போலி நிறுவல் வழிகாட்டி காட்டப்பட்டு, முறையான மென்பொருள் நிறுவல் போன்ற தோற்றம் உருவாக்கப்பட்டது. அதே நேரத்தில், அது ஸ்டோர்ஜிலிருந்து (Storj) அடுத்த கட்ட பேலோடான OXLOADER-ஐ இரகசியமாகப் பதிவிறக்குகிறது. இந்த மால்வேர் ஒரு பவர்ஷெல் கட்டளை மூலம் பெறப்பட்டு, -Verb RunAs என்ற அளவுருவுடன் இயக்கப்படுகிறது. இது விண்டோஸ் பயனர் கணக்குக் கட்டுப்பாட்டு (UAC) அறிவிப்பை உருவாக்குகிறது.
பின்னர் இந்தத் தாக்குதல், DLL சைடு-லோடிங் நுட்பங்களைப் பயன்படுத்தி ஒரு தீங்கிழைக்கும் டைனமிக்-லிங்க் லைப்ரரியை இயக்குகிறது, அது கேஸில்ஸ்டீலர் எனப்படும் இறுதி பேலோடை மறைகுறியாக்கம் செய்து ஏவுகிறது.
மேம்பட்ட தப்பித்தல் உத்திகள், கண்டறிதலில் உள்ள சவால்களை அதிகரிக்கின்றன.
OXLOADER, பகுப்பாய்வைத் தடுப்பதற்கும் கண்டறியப்படுவதைத் தவிர்ப்பதற்கும் பிரத்யேகமாக வடிவமைக்கப்பட்ட பல அதிநவீன நுட்பங்களை உள்ளடக்கியுள்ளது:
- கட்டுப்பாட்டு-ஓட்டச் சமன்படுத்தல், தெளிவற்ற முன்னறிவிப்புகள் மற்றும் கலப்பு பூலியன்-கணித நுட்பங்கள் உள்ளிட்ட பல மறைப்பு அடுக்குகள்.
இந்தத் திறன்கள், நிலையான மற்றும் மாறும் கண்டறிதல் வழிமுறைகள் இரண்டையும் தவிர்ப்பதற்கான ஒரு திட்டமிட்ட மற்றும் நன்கு வடிவமைக்கப்பட்ட அணுகுமுறையை வெளிப்படுத்துகின்றன.
சைபர் குற்றச் செயல்பாடுகளில் கேஸில்ஸ்டீலரின் அதிகரித்து வரும் இருப்பு
கேஸில்ஸ்டீலர் என்பது .NET-ஐ அடிப்படையாகக் கொண்ட ஒரு தகவல் திருடும் தீம்பொருள் குடும்பமாகும், இது சமீபத்தில் கூடுதல் தாக்குதல் நடவடிக்கைகளில் தோன்றியுள்ளது. பேக்ரவுண்ட்ஃபிக்ஸ் என்றழைக்கப்பட்ட ஒரு செயல்பாட்டில், இது முன்னர் கேஸில்லோடருடன் சேர்த்து, ஒரு இலவச படத் திருத்தும் செயலி போலத் தோற்றமளித்த கிளிக்ஃபிக்ஸ் பாணியிலான சமூகப் பொறியியல் கவர்ச்சி மூலம் விநியோகிக்கப்பட்டது. கேஸில்லோடர், கிரேபிராவோ எனக் கண்காணிக்கப்படும் அச்சுறுத்தல் செயல்பாட்டுக் குழுமத்துடன் தொடர்புபடுத்தப்பட்டுள்ளது.
குறிப்பிடத்தக்க சாத்தியக்கூறுகளுடன் கூடிய ஆரம்ப கட்ட அச்சுறுத்தல்
OXLOADER செயல்பாட்டுப் பயன்பாட்டின் ஆரம்பக் கட்டங்களில் இருப்பதாகத் தோன்றினாலும், அதன் தொழில்நுட்ப நுட்பம் பாதுகாப்பாளர்களிடமிருந்து உன்னிப்பான கவனத்தைப் பெறுகிறது. அதன் உருவாக்குநர்களால் கணிசமான முதலீடு செய்யப்பட்டிருப்பதை பல பண்புகள் சுட்டிக்காட்டுகின்றன:
- விரிவான குறியீடு மறைப்பு மற்றும் மெய்நிகர் இயந்திர எதிர்ப்புப் பாதுகாப்புகள்.
- தீங்கிழைக்கும் பைனரிகளை மறைப்பதற்கும், தனித்துவமான பேலோட் ஸ்டேஜிங் நுட்பங்களுக்கும் தீங்கற்றதாகத் தோற்றமளிக்கும் குறியீட்டின் பயன்பாடு.
இந்த வடிவமைப்புத் தேர்வுகள் ஏற்கெனவே பயனுள்ளதாக நிரூபிக்கப்பட்டுள்ளன, இதன்மூலம் நிலையான ஸ்கேனிங் என்ஜின்கள் மற்றும் தானியங்கி வெடிப்புச் சூழல்கள் இரண்டிலும் OXLOADER குறைந்த கண்டறிதல் விகிதங்களை அடைய முடிகிறது. இதன் விளைவாக, பரவலான கண்டறிதல் அடையாளங்களும் எதிர் நடவடிக்கைகளும் உருவாக்கப்படுவதற்கு முன்பு, இந்த மால்வேர் தற்போது ஒரு மதிப்புமிக்க செயல்பாட்டுக் கால அவகாசத்தைப் பெற்று பயனடைகிறது.