มัลแวร์ OXLOADER
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่กำหนดชื่อเป็น REF8372 ซึ่งใช้ตัวโหลดมัลแวร์ที่ไม่เคยมีการบันทึกมาก่อนที่เรียกว่า OXLOADER เพื่อติดตั้งมัลแวร์ขโมยข้อมูล CastleStealer
การโจมตีเริ่มต้นด้วยโฆษณาของ Google ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อล่อลวงเหยื่อที่กำลังค้นหาซอฟต์แวร์ยอดนิยม การวิเคราะห์ชี้ให้เห็นว่าผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแคมเปญนี้มีแนวโน้มที่จะพูดภาษารัสเซียและมีแรงจูงใจทางการเงิน การประเมินนี้อิงจากการที่มัลแวร์จงใจไม่โจมตีระบบที่ตั้งอยู่ในกลุ่มประเทศเครือรัฐเอกราช (CIS) ซึ่งเป็นกลยุทธ์ที่กลุ่มอาชญากรไซเบอร์ในภูมิภาคนี้ใช้บ่อย
แม้ว่าโฆษณาของแคมเปญดังกล่าวจะถูกเผยแพร่ภายใต้ชื่อที่ได้รับการยืนยันแล้วว่า 'ВОЛОДИМИР ТЕРЕЩЕНКО' ซึ่งอ้างว่าตั้งอยู่ในประเทศยูเครน แต่ก็ยังไม่ชัดเจนว่าตัวตนนี้เป็นของผู้ดำเนินการเองหรือเป็นบัญชีที่ถูกแฮ็ก ซื้อมา หรือสร้างขึ้นมาใหม่ Google ได้ลบบัญชีผู้ลงโฆษณาและแคมเปญที่เกี่ยวข้องเมื่อวันที่ 14 พฤษภาคม 2569
สารบัญ
การหลอกลวงโดยเครื่องมือค้นหาทำให้เหยื่อหลงเข้าไปในเว็บไซต์ซอฟต์แวร์ปลอม
การแพร่กระจายของไวรัสจะเริ่มต้นขึ้นเมื่อผู้ใช้ค้นหาคำต่างๆ เช่น 'เวอร์ชัน LTS ของ Node.js' ผ่านเครื่องมือค้นหาอย่าง Google เหยื่อจะถูกนำไปยังเว็บไซต์ปลอม node-js.prentiva99.info ผ่านผลการค้นหาที่ได้รับการสนับสนุน ซึ่งปลอมตัวเป็นแหล่งข้อมูลซอฟต์แวร์ที่ถูกต้องตามกฎหมาย
ผู้ใช้งานที่เข้าใช้งานเว็บไซต์หลอกลวงจะถูกขอให้ดาวน์โหลดสคริปต์แบบแบตช์ที่โฮสต์อยู่บน Storj ซึ่งเป็นแพลตฟอร์มจัดเก็บข้อมูลบนคลาวด์แบบกระจายศูนย์และโอเพนซอร์ส การใช้บริการที่ถูกต้องตามกฎหมายอย่าง Storj ในทางที่ผิดนี้ ชี้ให้เห็นถึงแนวโน้มที่เพิ่มขึ้นในกลุ่มผู้คุกคาม ซึ่งพึ่งพาแพลตฟอร์มที่น่าเชื่อถือมากขึ้นเรื่อยๆ เพื่อหลีกเลี่ยงการตรวจสอบชื่อเสียงของโดเมนและกลไกการกรองความปลอดภัย
ห่วงโซ่การติดเชื้อหลายขั้นตอนปกปิดกิจกรรมที่เป็นอันตราย
เมื่อเรียกใช้ไฟล์แบตช์ที่ดาวน์โหลดมา จะแสดงวิซาร์ดการติดตั้งปลอม สร้างภาพลวงตาของการติดตั้งซอฟต์แวร์ที่ถูกต้อง ในขณะที่แอบดาวน์โหลดเพย์โหลดขั้นต่อไป OXLOADER จาก Storj มัลแวร์จะถูกดึงมาผ่านคำสั่ง PowerShell และเรียกใช้ด้วยพารามิเตอร์ -Verb RunAs ซึ่งจะสร้างข้อความแจ้งเตือนการควบคุมบัญชีผู้ใช้ (UAC) ของ Windows
ขั้นตอนต่อมา การโจมตีจะใช้เทคนิคการโหลด DLL จากด้านข้างเพื่อเรียกใช้ไลบรารีแบบไดนามิกที่เป็นอันตราย ซึ่งจะถอดรหัสและเรียกใช้เพย์โหลดสุดท้ายคือ CastleStealer
เทคนิคการหลบเลี่ยงขั้นสูงเพิ่มความท้าทายในการตรวจจับ
OXLOADER ผสานรวมเทคนิคขั้นสูงหลายอย่างที่ออกแบบมาโดยเฉพาะเพื่อขัดขวางการวิเคราะห์และหลีกเลี่ยงการตรวจจับ:
- มีการใช้เทคนิคการปกปิดข้อมูลหลายชั้น รวมถึงการลดความซับซ้อนของการควบคุมการไหลของโปรแกรม เงื่อนไขที่ไม่โปร่งใส และเทคนิคผสมผสานระหว่างตรรกะบูลีนและเลขคณิต
ความสามารถเหล่านี้แสดงให้เห็นถึงแนวทางที่รอบคอบและได้รับการออกแบบมาเป็นอย่างดีเพื่อหลีกเลี่ยงกลไกการตรวจจับทั้งแบบคงที่และแบบไดนามิก
การขยายตัวของ CastleStealer ในปฏิบัติการอาชญากรรมไซเบอร์
CastleStealer เป็นตระกูลมัลแวร์ขโมยข้อมูลที่ใช้ .NET ซึ่งเพิ่งปรากฏในแคมเปญเพิ่มเติมเมื่อไม่นานมานี้ ก่อนหน้านี้มันถูกเผยแพร่ร่วมกับ CastleLoader ผ่านการล่อลวงทางวิศวกรรมสังคมแบบ ClickFix โดยปลอมตัวเป็นแอปพลิเคชันแก้ไขรูปภาพฟรีในปฏิบัติการที่รู้จักกันในชื่อ BackgroundFix CastleLoader มีความเชื่อมโยงกับกลุ่มกิจกรรมภัยคุกคามที่ติดตามได้ในชื่อ GrayBravo
ภัยคุกคามในระยะเริ่มต้นที่มีศักยภาพสูง
แม้ว่า OXLOADER จะดูเหมือนอยู่ในช่วงเริ่มต้นของการใช้งานจริง แต่ความซับซ้อนทางเทคนิคของมันสมควรได้รับการพิจารณาอย่างใกล้ชิดจากฝ่ายป้องกัน ลักษณะหลายประการบ่งชี้ว่าผู้พัฒนาได้ลงทุนอย่างมาก:
- การปกปิดรหัสอย่างครอบคลุมและการป้องกันการโจมตีจากเครื่องเสมือน (Virtual Machine)
- การใช้โค้ดที่ดูไม่เป็นอันตรายเพื่ออำพรางไฟล์ที่เป็นอันตราย และเทคนิคการจัดเตรียมเพย์โหลดที่ไม่เหมือนใคร
การออกแบบเหล่านี้ได้พิสูจน์แล้วว่ามีประสิทธิภาพ ทำให้ OXLOADER มีอัตราการตรวจจับต่ำในระบบสแกนแบบคงที่และสภาพแวดล้อมการตรวจจับอัตโนมัติ ส่งผลให้มัลแวร์นี้ได้รับประโยชน์จากช่วงเวลาการใช้งานที่มีค่าก่อนที่จะมีการพัฒนาลายเซ็นการตรวจจับและมาตรการรับมืออย่างแพร่หลาย