OXLOADER మాల్వేర్
సైబర్ సెక్యూరిటీ పరిశోధకులు REF8372 అనే కొత్త మాల్వేర్ క్యాంపెయిన్ను కనుగొన్నారు. ఇది, క్యాజిల్ స్టీలర్ అనే సమాచారాన్ని దొంగిలించే మాల్వేర్ను ప్రయోగించడానికి, OXLOADER అని పిలువబడే, ఇంతకుముందు నమోదుకాని మాల్వేర్ లోడర్ను ఉపయోగిస్తుంది.
జనాదరణ పొందిన సాఫ్ట్వేర్ కోసం వెతుకుతున్న బాధితులను ఆకర్షించేందుకు రూపొందించిన హానికరమైన గూగుల్ ప్రకటనలతో ఈ ఆపరేషన్ మొదలవుతుంది. ఈ ప్రచారం వెనుక ఉన్న ముప్పు కలిగించే వ్యక్తులు రష్యన్ భాష మాట్లాడేవారని మరియు ఆర్థిక ప్రేరణ కలిగి ఉన్నారని విశ్లేషణ సూచిస్తుంది. ఈ ప్రాంతంలో పనిచేసే సైబర్ నేర సమూహాలు తరచుగా ఉపయోగించే ఒక వ్యూహాన్ని అనుసరించి, కామన్వెల్త్ ఆఫ్ ఇండిపెండెంట్ స్టేట్స్ (CIS) పరిధిలోని సిస్టమ్లను ఈ మాల్వేర్ ఉద్దేశపూర్వకంగా మినహాయించడంపై ఈ అంచనా ఆధారపడి ఉంది.
ఈ ప్రచార ప్రకటనలు ఉక్రెయిన్కు చెందినవని చెప్పబడుతున్న 'ВОЛОДИМИР ТЕРЕЩЕНКО' అనే ధృవీకరించబడిన పేరుతో ప్రచురించబడినప్పటికీ, ఈ గుర్తింపు ఆపరేటర్లదేనా లేక ఇది హ్యాక్ చేయబడిన, కొనుగోలు చేయబడిన లేదా కల్పిత ఖాతానా అనేది అస్పష్టంగానే ఉంది. గూగుల్ మే 14, 2026న ఆ ప్రకటనకర్త ఖాతాను మరియు దానికి సంబంధించిన ప్రచారాలను తొలగించింది.
విషయ సూచిక
సెర్చ్ ఇంజన్ మానిప్యులేషన్ బాధితులను నకిలీ సాఫ్ట్వేర్ సైట్లకు దారి తీస్తుంది
వినియోగదారులు గూగుల్ వంటి సెర్చ్ ఇంజిన్ల ద్వారా 'lts version of node.js' వంటి పదాల కోసం వెతికినప్పుడు ఈ ఇన్ఫెక్షన్ గొలుసు మొదలవుతుంది. బాధితులు స్పాన్సర్డ్ ఫలితాల ద్వారా, ఒక చట్టబద్ధమైన సాఫ్ట్వేర్ వనరుగా నటిస్తున్న node-js.prentiva99.info అనే నకిలీ వెబ్సైట్కు మళ్ళించబడతారు.
మోసపూరిత వెబ్సైట్తో వ్యవహరించే వినియోగదారులను, వికేంద్రీకృత మరియు ఓపెన్-సోర్స్ క్లౌడ్ స్టోరేజ్ ప్లాట్ఫారమ్ అయిన స్టోర్జ్లో హోస్ట్ చేయబడిన ఒక బ్యాచ్ స్క్రిప్ట్ను డౌన్లోడ్ చేసుకోమని కోరడం జరుగుతుంది. స్టోర్జ్ వంటి చట్టబద్ధమైన సేవలను దుర్వినియోగం చేయడం అనేది, డొమైన్ రెప్యుటేషన్ మరియు సెక్యూరిటీ ఫిల్టరింగ్ మెకానిజమ్లను దాటవేయడానికి విశ్వసనీయ ప్లాట్ఫారమ్లపై ఎక్కువగా ఆధారపడే ముప్పు కలిగించే వ్యక్తుల మధ్య పెరుగుతున్న ధోరణిని హైలైట్ చేస్తుంది.
బహుళ-దశల సంక్రమణ గొలుసు హానికరమైన చర్యను దాచిపెడుతుంది
డౌన్లోడ్ చేసిన బ్యాచ్ ఫైల్ను ఎగ్జిక్యూట్ చేసినప్పుడు, అది ఒక నకిలీ ఇన్స్టాలేషన్ విజార్డ్ను ప్రదర్శిస్తుంది. ఇది ఒక చట్టబద్ధమైన సాఫ్ట్వేర్ సెటప్ అనే భ్రమను సృష్టిస్తూనే, స్టోర్జ్ (Storj) నుండి తదుపరి దశ పేలోడ్ అయిన OXLOADERను రహస్యంగా డౌన్లోడ్ చేస్తుంది. ఈ మాల్వేర్ను పవర్షెల్ (PowerShell) కమాండ్ ద్వారా పొంది, -Verb RunAs పారామీటర్తో లాంచ్ చేసినప్పుడు, అది ఒక విండోస్ యూజర్ అకౌంట్ కంట్రోల్ (UAC) ప్రాంప్ట్ను జనరేట్ చేస్తుంది.
ఈ దాడి తదనంతరం DLL సైడ్-లోడింగ్ పద్ధతులను ఉపయోగించి ఒక హానికరమైన డైనమిక్-లింక్ లైబ్రరీని అమలు చేస్తుంది, అది క్యాసిల్స్టీలర్ అనే తుది పేలోడ్ను డీక్రిప్ట్ చేసి ప్రయోగిస్తుంది.
అధునాతన తప్పించుకునే పద్ధతులు గుర్తింపు సవాళ్లను పెంచుతాయి
విశ్లేషణకు ఆటంకం కలిగించడానికి మరియు గుర్తింపును తప్పించుకోవడానికి ప్రత్యేకంగా రూపొందించిన అనేక అధునాతన పద్ధతులను OXLOADER పొందుపరుస్తుంది:
- కంట్రోల్-ఫ్లో ఫ్లాటెనింగ్, అపారదర్శక ప్రిడికేట్లు మరియు మిశ్రమ బూలియన్-అరిథ్మెటిక్ టెక్నిక్లతో సహా బహుళ అస్పష్ట పొరలు.
ఈ సామర్థ్యాలు స్థిర మరియు చలన గుర్తింపు యంత్రాంగాలు రెండింటినీ నివారించడానికి ఉద్దేశపూర్వకమైన మరియు చక్కగా రూపొందించబడిన విధానాన్ని ప్రదర్శిస్తాయి.
సైబర్ క్రైమ్ కార్యకలాపాలలో క్యాసిల్స్టీలర్ యొక్క పెరుగుతున్న ప్రాబల్యం
క్యాసిల్స్టీలర్ అనేది .NET ఆధారిత సమాచారాన్ని దొంగిలించే మాల్వేర్ కుటుంబానికి చెందినది, ఇది ఇటీవల అదనపు ప్రచారాలలో కనిపించింది. బ్యాక్గ్రౌండ్ఫిక్స్ అని పిలువబడే ఒక ఆపరేషన్లో, ఉచిత ఇమేజ్-ఎడిటింగ్ అప్లికేషన్గా నటిస్తూ క్లిక్ఫిక్స్ తరహా సోషల్ ఇంజనీరింగ్ ఎర ద్వారా దీనిని గతంలో క్యాసిల్లోడర్తో పాటు పంపిణీ చేశారు. క్యాసిల్లోడర్కు, గ్రేబ్రావోగా ట్రాక్ చేయబడిన ముప్పు కార్యకలాపాల సమూహంతో సంబంధం ఉంది.
గణనీయమైన సామర్థ్యంతో కూడిన ప్రారంభ దశ ముప్పు
OXLOADER కార్యాచరణ విస్తరణ యొక్క ప్రారంభ దశలలో ఉన్నట్లు కనిపించినప్పటికీ, దాని సాంకేతిక పరిజ్ఞానం రక్షక దళాల నుండి నిశితమైన దృష్టిని కోరుతుంది. అనేక లక్షణాలు దాని డెవలపర్లు గణనీయమైన పెట్టుబడి పెట్టారని సూచిస్తున్నాయి:
- విస్తృతమైన కోడ్ అస్పష్టత మరియు వర్చువల్ మెషీన్ వ్యతిరేక రక్షణలు.
- హానికరమైన బైనరీలను మభ్యపెట్టడానికి హానిచేయనిదిగా కనిపించే కోడ్ను ఉపయోగించడం మరియు ప్రత్యేకమైన పేలోడ్ స్టేజింగ్ పద్ధతులు.
ఈ డిజైన్ ఎంపికలు ఇప్పటికే ప్రభావవంతంగా ఉన్నాయని నిరూపించబడ్డాయి, ఇవి స్టాటిక్ స్కానింగ్ ఇంజిన్లు మరియు ఆటోమేటెడ్ డిటోనేషన్ పరిసరాలలో OXLOADER తక్కువ డిటెక్షన్ రేట్లను సాధించడానికి వీలు కల్పించాయి. ఫలితంగా, విస్తృతమైన డిటెక్షన్ సిగ్నేచర్లు మరియు నివారణ చర్యలు అభివృద్ధి చేయబడక ముందే, ఈ మాల్వేర్ ప్రస్తుతం ఒక విలువైన కార్యాచరణ విండో నుండి ప్రయోజనం పొందుతోంది.