Banta sa Database Malware Malware ng OXLOADER

Malware ng OXLOADER

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong kampanya ng malware, na itinalagang REF8372, na gumagamit ng isang dating hindi dokumentadong malware loader na kilala bilang OXLOADER upang i-deploy ang malware na CastleStealer na nagnanakaw ng impormasyon.

Nagsisimula ang operasyon sa mga malisyosong patalastas ng Google na idinisenyo upang akitin ang mga biktima na naghahanap ng mga sikat na software. Ipinahihiwatig ng pagsusuri na ang mga aktor ng banta sa likod ng kampanya ay malamang na nagsasalita ng Ruso at may motibasyon sa pananalapi. Ang pagtatasang ito ay batay sa sinasadyang pagbubukod ng malware sa mga sistemang matatagpuan sa loob ng Commonwealth of Independent States (CIS), isang taktika na madalas gamitin ng mga cybercriminal group na tumatakbo sa rehiyon.

Bagama't ang mga patalastas ng kampanya ay inilathala sa ilalim ng beripikadong pangalang 'ВОЛОДИМИР ТЕРЕЩЕНКО,' na umano'y nakabase sa Ukraine, nananatiling hindi malinaw kung ang pagkakakilanlang ito ay pagmamay-ari mismo ng mga operator o kumakatawan sa isang nakompromiso, binili, o gawa-gawang account. Inalis ng Google ang advertiser account at mga kaugnay na kampanya noong Mayo 14, 2026.

Manipulasyon sa Search Engine, Nagdudulot ng mga Biktima sa mga Pekeng Site ng Software

Ang kadena ng impeksyon ay nagsisimula kapag ang mga gumagamit ay naghahanap ng mga terminong tulad ng 'lts version of node.js' sa pamamagitan ng mga search engine tulad ng Google. Ang mga biktima ay ire-redirect sa pamamagitan ng mga naka-sponsor na resulta patungo sa isang pekeng website, ang node-js.prentiva99.info, na nagkukunwaring isang lehitimong mapagkukunan ng software.

Ang mga user na nakikipag-ugnayan sa mapanlinlang na website ay hinihikayat na mag-download ng batch script na naka-host sa Storj, isang desentralisado at open-source na cloud storage platform. Ang pang-aabuso sa mga lehitimong serbisyo tulad ng Storj ay nagpapakita ng lumalaking trend sa mga threat actor, na lalong umaasa sa mga pinagkakatiwalaang platform upang malampasan ang mga mekanismo ng pagsala sa reputasyon ng domain at seguridad.

Itinatago ng Multi-Stage Infection Chain ang Malisyosong Aktibidad

Ang pagpapatupad ng na-download na batch file ay nagpapakita ng pekeng installation wizard, na lumilikha ng ilusyon ng isang lehitimong software setup habang palihim na dina-download ang next-stage payload, ang OXLOADER, mula sa Storj. Ang malware ay kinukuha sa pamamagitan ng isang PowerShell command at inilulunsad gamit ang parameter na -Verb RunAs, na bubuo ng isang Windows User Account Control (UAC) prompt.

Ang pag-atake ay kasunod na gumagamit ng mga pamamaraan ng side-loading ng DLL upang magsagawa ng isang malisyosong dynamic-link library, na nagde-decrypt at naglulunsad ng panghuling payload, ang CastleStealer.

Pinapataas ng mga Advanced na Teknik sa Pag-iwas ang mga Hamon sa Pagtuklas

Isinasama ng OXLOADER ang ilang sopistikadong pamamaraan na partikular na idinisenyo upang hadlangan ang pagsusuri at maiwasan ang pagtuklas:

  • Maramihang mga layer ng obfuscation, kabilang ang control-flow flattening, opaque predicates, at pinaghalong Boolean-Arithmetic na mga pamamaraan.
  • Mga kusang-loob na pagbabago sa mga gawain sa pag-decrypt, pang-aabuso sa seksyong Windows .reloc para sa pag-stage ng shellcode, at mga mekanismong anti-sandbox na pumipigil sa pagpapatupad sa mga virtualized na kapaligiran sa pagsusuri.

Ang mga kakayahang ito ay nagpapakita ng isang sinadya at mahusay na ininhinyero na diskarte upang maiwasan ang parehong static at dynamic na mga mekanismo ng pagtuklas.

Lumalaking Presensya ng CastleStealer sa mga Operasyon ng Cybercrime

Ang CastleStealer ay isang pamilya ng malware na nagnanakaw ng impormasyon na nakabatay sa .NET na kamakailan ay lumitaw sa mga karagdagang kampanya. Dati itong ipinamahagi kasama ng CastleLoader sa pamamagitan ng isang pang-akit na social engineering na istilo ng ClickFix na nagkunwaring isang libreng application sa pag-edit ng imahe sa isang operasyon na kilala bilang BackgroundFix. Ang CastleLoader ay naiugnay sa kumpol ng aktibidad ng banta na sinusubaybayan bilang GrayBravo.

Banta sa Maagang Yugto na may Malaking Potensyal

Bagama't tila nasa mga unang yugto pa lamang ng paglulunsad ng operasyon ang OXLOADER, ang teknikal na kahusayan nito ay nangangailangan ng masusing atensyon mula sa mga tagapagtanggol. Ilang katangian ang nagpapahiwatig ng malaking pamumuhunan ng mga developer nito:

  • Malawakang paglilihim ng code at mga proteksyon laban sa mga virtual na makina.
  • Paggamit ng code na mukhang hindi mapanganib upang itago ang mga malisyosong binary at natatanging mga pamamaraan sa pag-stage ng payload.

Napatunayang epektibo na ang mga pagpipiliang ito sa disenyo, na nagbibigay-daan sa OXLOADER na makamit ang mababang rate ng pagtuklas sa mga static scanning engine at mga automated detonation environment. Bilang resulta, ang malware ay kasalukuyang nakikinabang mula sa isang mahalagang operational window bago pa man mabuo ang malawakang mga detection signature at countermeasure.

Naglo-load...