OXLOADER మాల్వేర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు REF8372 అనే కొత్త మాల్వేర్ క్యాంపెయిన్‌ను కనుగొన్నారు. ఇది, క్యాజిల్ స్టీలర్ అనే సమాచారాన్ని దొంగిలించే మాల్వేర్‌ను ప్రయోగించడానికి, OXLOADER అని పిలువబడే, ఇంతకుముందు నమోదుకాని మాల్వేర్ లోడర్‌ను ఉపయోగిస్తుంది.

జనాదరణ పొందిన సాఫ్ట్‌వేర్ కోసం వెతుకుతున్న బాధితులను ఆకర్షించేందుకు రూపొందించిన హానికరమైన గూగుల్ ప్రకటనలతో ఈ ఆపరేషన్ మొదలవుతుంది. ఈ ప్రచారం వెనుక ఉన్న ముప్పు కలిగించే వ్యక్తులు రష్యన్ భాష మాట్లాడేవారని మరియు ఆర్థిక ప్రేరణ కలిగి ఉన్నారని విశ్లేషణ సూచిస్తుంది. ఈ ప్రాంతంలో పనిచేసే సైబర్ నేర సమూహాలు తరచుగా ఉపయోగించే ఒక వ్యూహాన్ని అనుసరించి, కామన్వెల్త్ ఆఫ్ ఇండిపెండెంట్ స్టేట్స్ (CIS) పరిధిలోని సిస్టమ్‌లను ఈ మాల్వేర్ ఉద్దేశపూర్వకంగా మినహాయించడంపై ఈ అంచనా ఆధారపడి ఉంది.

ఈ ప్రచార ప్రకటనలు ఉక్రెయిన్‌కు చెందినవని చెప్పబడుతున్న 'ВОЛОДИМИР ТЕРЕЩЕНКО' అనే ధృవీకరించబడిన పేరుతో ప్రచురించబడినప్పటికీ, ఈ గుర్తింపు ఆపరేటర్లదేనా లేక ఇది హ్యాక్ చేయబడిన, కొనుగోలు చేయబడిన లేదా కల్పిత ఖాతానా అనేది అస్పష్టంగానే ఉంది. గూగుల్ మే 14, 2026న ఆ ప్రకటనకర్త ఖాతాను మరియు దానికి సంబంధించిన ప్రచారాలను తొలగించింది.

సెర్చ్ ఇంజన్ మానిప్యులేషన్ బాధితులను నకిలీ సాఫ్ట్‌వేర్ సైట్‌లకు దారి తీస్తుంది

వినియోగదారులు గూగుల్ వంటి సెర్చ్ ఇంజిన్‌ల ద్వారా 'lts version of node.js' వంటి పదాల కోసం వెతికినప్పుడు ఈ ఇన్ఫెక్షన్ గొలుసు మొదలవుతుంది. బాధితులు స్పాన్సర్డ్ ఫలితాల ద్వారా, ఒక చట్టబద్ధమైన సాఫ్ట్‌వేర్ వనరుగా నటిస్తున్న node-js.prentiva99.info అనే నకిలీ వెబ్‌సైట్‌కు మళ్ళించబడతారు.

మోసపూరిత వెబ్‌సైట్‌తో వ్యవహరించే వినియోగదారులను, వికేంద్రీకృత మరియు ఓపెన్-సోర్స్ క్లౌడ్ స్టోరేజ్ ప్లాట్‌ఫారమ్ అయిన స్టోర్జ్‌లో హోస్ట్ చేయబడిన ఒక బ్యాచ్ స్క్రిప్ట్‌ను డౌన్‌లోడ్ చేసుకోమని కోరడం జరుగుతుంది. స్టోర్జ్ వంటి చట్టబద్ధమైన సేవలను దుర్వినియోగం చేయడం అనేది, డొమైన్ రెప్యుటేషన్ మరియు సెక్యూరిటీ ఫిల్టరింగ్ మెకానిజమ్‌లను దాటవేయడానికి విశ్వసనీయ ప్లాట్‌ఫారమ్‌లపై ఎక్కువగా ఆధారపడే ముప్పు కలిగించే వ్యక్తుల మధ్య పెరుగుతున్న ధోరణిని హైలైట్ చేస్తుంది.

బహుళ-దశల సంక్రమణ గొలుసు హానికరమైన చర్యను దాచిపెడుతుంది

డౌన్‌లోడ్ చేసిన బ్యాచ్ ఫైల్‌ను ఎగ్జిక్యూట్ చేసినప్పుడు, అది ఒక నకిలీ ఇన్‌స్టాలేషన్ విజార్డ్‌ను ప్రదర్శిస్తుంది. ఇది ఒక చట్టబద్ధమైన సాఫ్ట్‌వేర్ సెటప్ అనే భ్రమను సృష్టిస్తూనే, స్టోర్జ్ (Storj) నుండి తదుపరి దశ పేలోడ్ అయిన OXLOADERను రహస్యంగా డౌన్‌లోడ్ చేస్తుంది. ఈ మాల్వేర్‌ను పవర్‌షెల్ (PowerShell) కమాండ్ ద్వారా పొంది, -Verb RunAs పారామీటర్‌తో లాంచ్ చేసినప్పుడు, అది ఒక విండోస్ యూజర్ అకౌంట్ కంట్రోల్ (UAC) ప్రాంప్ట్‌ను జనరేట్ చేస్తుంది.

ఈ దాడి తదనంతరం DLL సైడ్-లోడింగ్ పద్ధతులను ఉపయోగించి ఒక హానికరమైన డైనమిక్-లింక్ లైబ్రరీని అమలు చేస్తుంది, అది క్యాసిల్‌స్టీలర్ అనే తుది పేలోడ్‌ను డీక్రిప్ట్ చేసి ప్రయోగిస్తుంది.

అధునాతన తప్పించుకునే పద్ధతులు గుర్తింపు సవాళ్లను పెంచుతాయి

విశ్లేషణకు ఆటంకం కలిగించడానికి మరియు గుర్తింపును తప్పించుకోవడానికి ప్రత్యేకంగా రూపొందించిన అనేక అధునాతన పద్ధతులను OXLOADER పొందుపరుస్తుంది:

  • కంట్రోల్-ఫ్లో ఫ్లాటెనింగ్, అపారదర్శక ప్రిడికేట్‌లు మరియు మిశ్రమ బూలియన్-అరిథ్‌మెటిక్ టెక్నిక్‌లతో సహా బహుళ అస్పష్ట పొరలు.
  • స్వీయ-సవరణ డీక్రిప్షన్ రొటీన్‌లు, షెల్‌కోడ్ స్టేజింగ్ కోసం విండోస్ .reloc విభాగాన్ని దుర్వినియోగం చేయడం, మరియు వర్చువలైజ్డ్ విశ్లేషణ వాతావరణాలలో అమలును నిరోధించే యాంటీ-శాండ్‌బాక్స్ యంత్రాంగాలు.
  • ఈ సామర్థ్యాలు స్థిర మరియు చలన గుర్తింపు యంత్రాంగాలు రెండింటినీ నివారించడానికి ఉద్దేశపూర్వకమైన మరియు చక్కగా రూపొందించబడిన విధానాన్ని ప్రదర్శిస్తాయి.

    సైబర్ క్రైమ్ కార్యకలాపాలలో క్యాసిల్‌స్టీలర్ యొక్క పెరుగుతున్న ప్రాబల్యం

    క్యాసిల్‌స్టీలర్ అనేది .NET ఆధారిత సమాచారాన్ని దొంగిలించే మాల్వేర్ కుటుంబానికి చెందినది, ఇది ఇటీవల అదనపు ప్రచారాలలో కనిపించింది. బ్యాక్‌గ్రౌండ్‌ఫిక్స్ అని పిలువబడే ఒక ఆపరేషన్‌లో, ఉచిత ఇమేజ్-ఎడిటింగ్ అప్లికేషన్‌గా నటిస్తూ క్లిక్‌ఫిక్స్ తరహా సోషల్ ఇంజనీరింగ్ ఎర ద్వారా దీనిని గతంలో క్యాసిల్‌లోడర్‌తో పాటు పంపిణీ చేశారు. క్యాసిల్‌లోడర్‌కు, గ్రేబ్రావోగా ట్రాక్ చేయబడిన ముప్పు కార్యకలాపాల సమూహంతో సంబంధం ఉంది.

    గణనీయమైన సామర్థ్యంతో కూడిన ప్రారంభ దశ ముప్పు

    OXLOADER కార్యాచరణ విస్తరణ యొక్క ప్రారంభ దశలలో ఉన్నట్లు కనిపించినప్పటికీ, దాని సాంకేతిక పరిజ్ఞానం రక్షక దళాల నుండి నిశితమైన దృష్టిని కోరుతుంది. అనేక లక్షణాలు దాని డెవలపర్లు గణనీయమైన పెట్టుబడి పెట్టారని సూచిస్తున్నాయి:

    • విస్తృతమైన కోడ్ అస్పష్టత మరియు వర్చువల్ మెషీన్ వ్యతిరేక రక్షణలు.
    • హానికరమైన బైనరీలను మభ్యపెట్టడానికి హానిచేయనిదిగా కనిపించే కోడ్‌ను ఉపయోగించడం మరియు ప్రత్యేకమైన పేలోడ్ స్టేజింగ్ పద్ధతులు.

    ఈ డిజైన్ ఎంపికలు ఇప్పటికే ప్రభావవంతంగా ఉన్నాయని నిరూపించబడ్డాయి, ఇవి స్టాటిక్ స్కానింగ్ ఇంజిన్‌లు మరియు ఆటోమేటెడ్ డిటోనేషన్ పరిసరాలలో OXLOADER తక్కువ డిటెక్షన్ రేట్లను సాధించడానికి వీలు కల్పించాయి. ఫలితంగా, విస్తృతమైన డిటెక్షన్ సిగ్నేచర్‌లు మరియు నివారణ చర్యలు అభివృద్ధి చేయబడక ముందే, ఈ మాల్వేర్ ప్రస్తుతం ఒక విలువైన కార్యాచరణ విండో నుండి ప్రయోజనం పొందుతోంది.

    లోడ్...