Phần mềm độc hại OXLOADER
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới, được đặt tên là REF8372, sử dụng một trình tải phần mềm độc hại chưa từng được ghi nhận trước đây có tên là OXLOADER để triển khai phần mềm độc hại đánh cắp thông tin CastleStealer.
Chiến dịch bắt đầu bằng các quảng cáo độc hại của Google được thiết kế để dụ dỗ nạn nhân tìm kiếm các phần mềm phổ biến. Phân tích cho thấy các tác nhân đe dọa đứng sau chiến dịch này có khả năng nói tiếng Nga và có động cơ tài chính. Đánh giá này dựa trên việc phần mềm độc hại cố tình loại trừ các hệ thống nằm trong Cộng đồng các quốc gia độc lập (CIS), một chiến thuật thường được các nhóm tội phạm mạng hoạt động trong khu vực sử dụng.
Mặc dù các quảng cáo của chiến dịch được đăng tải dưới tên đã được xác minh là 'ВОЛОДИМИР ТЕРЕЩЕНКО,' được cho là có trụ sở tại Ukraine, nhưng vẫn chưa rõ liệu danh tính này thuộc về chính những người điều hành hay là một tài khoản bị xâm phạm, mua lại hoặc giả mạo. Google đã xóa tài khoản nhà quảng cáo và các chiến dịch liên quan vào ngày 14 tháng 5 năm 2026.
Mục lục
Thao túng công cụ tìm kiếm dẫn nạn nhân đến các trang web phần mềm giả mạo.
Chuỗi lây nhiễm bắt đầu khi người dùng tìm kiếm các cụm từ như "phiên bản LTS của node.js" thông qua các công cụ tìm kiếm như Google. Nạn nhân bị chuyển hướng thông qua kết quả tìm kiếm được tài trợ đến một trang web giả mạo, node-js.prentiva99.info, mạo danh là một nguồn phần mềm hợp pháp.
Người dùng tương tác với trang web lừa đảo sẽ được yêu cầu tải xuống một tập lệnh hàng loạt được lưu trữ trên Storj, một nền tảng lưu trữ đám mây phi tập trung và mã nguồn mở. Việc lạm dụng các dịch vụ hợp pháp như Storj cho thấy một xu hướng ngày càng gia tăng trong giới tội phạm mạng, những kẻ ngày càng dựa vào các nền tảng đáng tin cậy để vượt qua uy tín tên miền và các cơ chế lọc bảo mật.
Chuỗi lây nhiễm nhiều giai đoạn che giấu hoạt động độc hại
Việc thực thi tập tin hàng loạt đã tải xuống sẽ hiển thị một trình hướng dẫn cài đặt giả mạo, tạo ra ảo giác về một quá trình cài đặt phần mềm hợp pháp trong khi bí mật tải xuống phần mềm độc hại giai đoạn tiếp theo, OXLOADER, từ Storj. Phần mềm độc hại được lấy thông qua lệnh PowerShell và được khởi chạy với tham số -Verb RunAs, tạo ra lời nhắc Kiểm soát Tài khoản Người dùng Windows (UAC).
Cuộc tấn công sau đó sử dụng kỹ thuật tải DLL bên ngoài để thực thi một thư viện liên kết động độc hại, thư viện này sẽ giải mã và khởi chạy phần mềm độc hại cuối cùng, CastleStealer.
Các kỹ thuật né tránh tiên tiến làm tăng thêm thách thức trong việc phát hiện.
OXLOADER tích hợp một số kỹ thuật tinh vi được thiết kế đặc biệt để cản trở quá trình phân tích và tránh bị phát hiện:
- Nhiều lớp làm mờ mã, bao gồm làm phẳng luồng điều khiển, các vị từ không rõ ràng và các kỹ thuật kết hợp Boolean-Số học.
- Các thủ tục giải mã tự sửa đổi, lạm dụng phần .reloc của Windows để dàn dựng shellcode và các cơ chế chống sandbox ngăn chặn việc thực thi trong môi trường phân tích ảo hóa.
Những khả năng này thể hiện một cách tiếp cận có chủ đích và được thiết kế kỹ lưỡng nhằm tránh cả các cơ chế phát hiện tĩnh và động.
Sự hiện diện ngày càng tăng của CastleStealer trong các hoạt động tội phạm mạng.
CastleStealer là một họ phần mềm độc hại đánh cắp thông tin dựa trên nền tảng .NET, gần đây đã xuất hiện trong các chiến dịch tấn công mới. Trước đây, nó được phát tán cùng với CastleLoader thông qua một chiêu trò lừa đảo kiểu ClickFix, giả danh là một ứng dụng chỉnh sửa ảnh miễn phí trong một chiến dịch có tên BackgroundFix. CastleLoader có liên quan đến cụm hoạt động đe dọa được theo dõi với tên gọi GrayBravo.
Mối đe dọa ở giai đoạn đầu với tiềm năng đáng kể
Mặc dù OXLOADER dường như đang trong giai đoạn triển khai hoạt động ban đầu, nhưng sự tinh vi về mặt kỹ thuật của nó đòi hỏi sự chú ý sát sao từ phía các nhà phòng thủ. Một số đặc điểm cho thấy sự đầu tư đáng kể từ các nhà phát triển của nó:
- Hệ thống mã nguồn được làm mờ và bảo vệ chống lại máy ảo quy mô lớn.
- Sử dụng mã nguồn trông có vẻ vô hại để ngụy trang các tệp nhị phân độc hại và các kỹ thuật dàn dựng tải trọng độc đáo.
Những lựa chọn thiết kế này đã được chứng minh là hiệu quả, cho phép OXLOADER đạt được tỷ lệ phát hiện thấp trên các công cụ quét tĩnh và môi trường kích nổ tự động. Do đó, phần mềm độc hại hiện đang được hưởng lợi từ một khoảng thời gian hoạt động quý giá trước khi các chữ ký phát hiện và biện pháp đối phó được phát triển rộng rãi.