มัลแวร์ OXLOADER

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่กำหนดชื่อเป็น REF8372 ซึ่งใช้ตัวโหลดมัลแวร์ที่ไม่เคยมีการบันทึกมาก่อนที่เรียกว่า OXLOADER เพื่อติดตั้งมัลแวร์ขโมยข้อมูล CastleStealer

การโจมตีเริ่มต้นด้วยโฆษณาของ Google ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อล่อลวงเหยื่อที่กำลังค้นหาซอฟต์แวร์ยอดนิยม การวิเคราะห์ชี้ให้เห็นว่าผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแคมเปญนี้มีแนวโน้มที่จะพูดภาษารัสเซียและมีแรงจูงใจทางการเงิน การประเมินนี้อิงจากการที่มัลแวร์จงใจไม่โจมตีระบบที่ตั้งอยู่ในกลุ่มประเทศเครือรัฐเอกราช (CIS) ซึ่งเป็นกลยุทธ์ที่กลุ่มอาชญากรไซเบอร์ในภูมิภาคนี้ใช้บ่อย

แม้ว่าโฆษณาของแคมเปญดังกล่าวจะถูกเผยแพร่ภายใต้ชื่อที่ได้รับการยืนยันแล้วว่า 'ВОЛОДИМИР ТЕРЕЩЕНКО' ซึ่งอ้างว่าตั้งอยู่ในประเทศยูเครน แต่ก็ยังไม่ชัดเจนว่าตัวตนนี้เป็นของผู้ดำเนินการเองหรือเป็นบัญชีที่ถูกแฮ็ก ซื้อมา หรือสร้างขึ้นมาใหม่ Google ได้ลบบัญชีผู้ลงโฆษณาและแคมเปญที่เกี่ยวข้องเมื่อวันที่ 14 พฤษภาคม 2569

การหลอกลวงโดยเครื่องมือค้นหาทำให้เหยื่อหลงเข้าไปในเว็บไซต์ซอฟต์แวร์ปลอม

การแพร่กระจายของไวรัสจะเริ่มต้นขึ้นเมื่อผู้ใช้ค้นหาคำต่างๆ เช่น 'เวอร์ชัน LTS ของ Node.js' ผ่านเครื่องมือค้นหาอย่าง Google เหยื่อจะถูกนำไปยังเว็บไซต์ปลอม node-js.prentiva99.info ผ่านผลการค้นหาที่ได้รับการสนับสนุน ซึ่งปลอมตัวเป็นแหล่งข้อมูลซอฟต์แวร์ที่ถูกต้องตามกฎหมาย

ผู้ใช้งานที่เข้าใช้งานเว็บไซต์หลอกลวงจะถูกขอให้ดาวน์โหลดสคริปต์แบบแบตช์ที่โฮสต์อยู่บน Storj ซึ่งเป็นแพลตฟอร์มจัดเก็บข้อมูลบนคลาวด์แบบกระจายศูนย์และโอเพนซอร์ส การใช้บริการที่ถูกต้องตามกฎหมายอย่าง Storj ในทางที่ผิดนี้ ชี้ให้เห็นถึงแนวโน้มที่เพิ่มขึ้นในกลุ่มผู้คุกคาม ซึ่งพึ่งพาแพลตฟอร์มที่น่าเชื่อถือมากขึ้นเรื่อยๆ เพื่อหลีกเลี่ยงการตรวจสอบชื่อเสียงของโดเมนและกลไกการกรองความปลอดภัย

ห่วงโซ่การติดเชื้อหลายขั้นตอนปกปิดกิจกรรมที่เป็นอันตราย

เมื่อเรียกใช้ไฟล์แบตช์ที่ดาวน์โหลดมา จะแสดงวิซาร์ดการติดตั้งปลอม สร้างภาพลวงตาของการติดตั้งซอฟต์แวร์ที่ถูกต้อง ในขณะที่แอบดาวน์โหลดเพย์โหลดขั้นต่อไป OXLOADER จาก Storj มัลแวร์จะถูกดึงมาผ่านคำสั่ง PowerShell และเรียกใช้ด้วยพารามิเตอร์ -Verb RunAs ซึ่งจะสร้างข้อความแจ้งเตือนการควบคุมบัญชีผู้ใช้ (UAC) ของ Windows

ขั้นตอนต่อมา การโจมตีจะใช้เทคนิคการโหลด DLL จากด้านข้างเพื่อเรียกใช้ไลบรารีแบบไดนามิกที่เป็นอันตราย ซึ่งจะถอดรหัสและเรียกใช้เพย์โหลดสุดท้ายคือ CastleStealer

เทคนิคการหลบเลี่ยงขั้นสูงเพิ่มความท้าทายในการตรวจจับ

OXLOADER ผสานรวมเทคนิคขั้นสูงหลายอย่างที่ออกแบบมาโดยเฉพาะเพื่อขัดขวางการวิเคราะห์และหลีกเลี่ยงการตรวจจับ:

  • มีการใช้เทคนิคการปกปิดข้อมูลหลายชั้น รวมถึงการลดความซับซ้อนของการควบคุมการไหลของโปรแกรม เงื่อนไขที่ไม่โปร่งใส และเทคนิคผสมผสานระหว่างตรรกะบูลีนและเลขคณิต
  • รูทีนการถอดรหัสที่แก้ไขตัวเอง การใช้ส่วน .reloc ของ Windows ในทางที่ผิดเพื่อเตรียมเชลล์โค้ด และกลไกต่อต้านแซนด์บ็อกซ์ที่ป้องกันการเรียกใช้งานในสภาพแวดล้อมการวิเคราะห์เสมือนจริง
  • ความสามารถเหล่านี้แสดงให้เห็นถึงแนวทางที่รอบคอบและได้รับการออกแบบมาเป็นอย่างดีเพื่อหลีกเลี่ยงกลไกการตรวจจับทั้งแบบคงที่และแบบไดนามิก

    การขยายตัวของ CastleStealer ในปฏิบัติการอาชญากรรมไซเบอร์

    CastleStealer เป็นตระกูลมัลแวร์ขโมยข้อมูลที่ใช้ .NET ซึ่งเพิ่งปรากฏในแคมเปญเพิ่มเติมเมื่อไม่นานมานี้ ก่อนหน้านี้มันถูกเผยแพร่ร่วมกับ CastleLoader ผ่านการล่อลวงทางวิศวกรรมสังคมแบบ ClickFix โดยปลอมตัวเป็นแอปพลิเคชันแก้ไขรูปภาพฟรีในปฏิบัติการที่รู้จักกันในชื่อ BackgroundFix CastleLoader มีความเชื่อมโยงกับกลุ่มกิจกรรมภัยคุกคามที่ติดตามได้ในชื่อ GrayBravo

    ภัยคุกคามในระยะเริ่มต้นที่มีศักยภาพสูง

    แม้ว่า OXLOADER จะดูเหมือนอยู่ในช่วงเริ่มต้นของการใช้งานจริง แต่ความซับซ้อนทางเทคนิคของมันสมควรได้รับการพิจารณาอย่างใกล้ชิดจากฝ่ายป้องกัน ลักษณะหลายประการบ่งชี้ว่าผู้พัฒนาได้ลงทุนอย่างมาก:

    • การปกปิดรหัสอย่างครอบคลุมและการป้องกันการโจมตีจากเครื่องเสมือน (Virtual Machine)
    • การใช้โค้ดที่ดูไม่เป็นอันตรายเพื่ออำพรางไฟล์ที่เป็นอันตราย และเทคนิคการจัดเตรียมเพย์โหลดที่ไม่เหมือนใคร

    การออกแบบเหล่านี้ได้พิสูจน์แล้วว่ามีประสิทธิภาพ ทำให้ OXLOADER มีอัตราการตรวจจับต่ำในระบบสแกนแบบคงที่และสภาพแวดล้อมการตรวจจับอัตโนมัติ ส่งผลให้มัลแวร์นี้ได้รับประโยชน์จากช่วงเวลาการใช้งานที่มีค่าก่อนที่จะมีการพัฒนาลายเซ็นการตรวจจับและมาตรการรับมืออย่างแพร่หลาย

    กำลังโหลด...