Шкідливе програмне забезпечення OXLOADER
Дослідники з кібербезпеки виявили нову кампанію шкідливого програмного забезпечення під назвою REF8372, яка використовує раніше недокументований завантажувач шкідливого програмного забезпечення, відомий як OXLOADER, для розгортання шкідливого програмного забезпечення CastleStealer, що краде інформацію.
Операція починається зі шкідливої реклами Google, призначеної для заманювання жертв, які шукають популярне програмне забезпечення. Аналіз показує, що зловмисники, що стоять за кампанією, ймовірно, є російськомовними та мають фінансові мотиви. Ця оцінка ґрунтується на навмисному виключенні шкідливим програмним забезпеченням систем, розташованих у Співдружності Незалежних Держав (СНД), що часто використовується кіберзлочинними групами, що діють у регіоні.
Хоча реклама кампанії була опублікована під підтвердженим ім'ям «ВОЛОДИМИР ТЕРЕЩЕНКО», нібито зареєстрованим в Україні, залишається незрозумілим, чи належить ця особа самим операторам, чи являє собою скомпрометований, куплений або сфабрикований обліковий запис. Google видалив обліковий запис рекламодавця та пов'язані з ним кампанії 14 травня 2026 року.
Зміст
Маніпуляції пошуковими системами призводять жертв до сайтів з підробленим програмним забезпеченням
Ланцюг зараження запускається, коли користувачі шукають такі терміни, як «lts version of node.js» через пошукові системи, такі як Google. Жертви перенаправляються через спонсоровані результати на підроблений веб-сайт node-js.prentiva99.info, який маскується під легітимний програмний ресурс.
Користувачам, які взаємодіють із шахрайським веб-сайтом, пропонується завантажити пакетний скрипт, розміщений на Storj, децентралізованій платформі хмарного сховища з відкритим кодом. Зловживання легітимними сервісами, такими як Storj, підкреслює зростаючу тенденцію серед зловмисників, які все частіше покладаються на довірені платформи для обходу механізмів фільтрації репутації домену та безпеки.
Багатоетапний ланцюг зараження приховує шкідливу активність
Виконання завантаженого пакетного файлу відображає фальшивий майстер встановлення, створюючи ілюзію легітимного налаштування програмного забезпечення, одночасно приховано завантажуючи наступне корисне навантаження, OXLOADER, з Storj. Шкідливе програмне забезпечення отримується за допомогою команди PowerShell та запускається з параметром -Verb RunAs, генеруючи запит контролю облікових записів користувачів Windows (UAC).
Згодом атака використовує методи непрямого завантаження DLL для виконання шкідливої бібліотеки динамічного компонування, яка розшифровує та запускає останнє корисне навантаження CastleStealer.
Удосконалені методи ухилення збільшують труднощі виявлення
OXLOADER використовує кілька складних методів, спеціально розроблених для перешкоджання аналізу та уникнення виявлення:
- Кілька шарів обфускації, включаючи вирівнювання потоку керування, непрозорі предикати та змішані методи булевої арифметики.
Ці можливості демонструють продуманий та добре продуманий підхід до уникнення як статичних, так і динамічних механізмів виявлення.
Зростаюча присутність CastleStealer в операціях з кіберзлочинності
CastleStealer — це сімейство шкідливих програм на базі .NET для крадіжки інформації, яке нещодавно з'явилося в додаткових кампаніях. Раніше воно поширювалося разом із CastleLoader через приманку соціальної інженерії в стилі ClickFix, яка видавала себе за безкоштовний додаток для редагування зображень в операції, відомій як BackgroundFix. CastleLoader був пов'язаний із кластером загроз, що відстежується як GrayBravo.
Загроза на ранній стадії зі значним потенціалом
Хоча OXLOADER, схоже, перебуває на ранніх стадіях оперативного розгортання, його технічна складність заслуговує на пильну увагу з боку захисників. Кілька характеристик свідчать про значні інвестиції його розробників:
- Розширене обфускація коду та захист від віртуальних машин.
- Використання нешкідливого коду для маскування шкідливих бінарних файлів та унікальних методів розміщення корисного навантаження.
Ці дизайнерські рішення вже довели свою ефективність, дозволяючи OXLOADER досягати низьких показників виявлення у статичних сканувальних системах та автоматизованих середовищах детонації. Як результат, шкідливе програмне забезпечення наразі має цінний операційний період, перш ніж будуть розроблені широко розповсюджені сигнатури виявлення та контрзаходи.