OXLOADER 恶意软件
网络安全研究人员发现了一种名为 REF8372 的新型恶意软件活动,该活动利用一种此前未记录的恶意软件加载器 OXLOADER 来部署窃取信息的恶意软件 CastleStealer。
此次攻击行动始于恶意谷歌广告,旨在诱骗用户搜索热门软件。分析表明,此次攻击背后的攻击者很可能讲俄语,且以经济利益为目的。这一判断基于恶意软件刻意排除独联体(CIS)境内的系统,而这正是该地区网络犯罪团伙常用的策略。
尽管该广告活动的广告以“ВОЛОДИМИР ТЕРЕЩЕНКО”这一经过验证的名称发布,据称该名称位于乌克兰,但目前尚不清楚该名称是否属于运营者本人,还是代表一个被盗用、购买或伪造的账户。谷歌已于2026年5月14日移除了该广告商账户及其相关广告活动。
目录
搜索引擎操纵将受害者引向虚假软件网站
当用户通过谷歌等搜索引擎搜索“lts version of node.js”之类的关键词时,感染链就会被触发。受害者会被通过广告链接重定向到一个伪装成合法软件资源的虚假网站 node-js.prentiva99.info。
与欺诈网站交互的用户会被诱导下载托管在 Storj(一个去中心化的开源云存储平台)上的批处理脚本。滥用 Storj 等合法服务凸显了威胁行为者日益增长的趋势,他们越来越依赖可信平台来绕过域名信誉和安全过滤机制。
多阶段感染链掩盖恶意活动
下载的批处理文件执行后会显示一个虚假的安装向导,营造出合法软件安装的假象,同时暗中从 Storj 下载下一阶段的有效载荷 OXLOADER。该恶意软件通过 PowerShell 命令获取,并使用 -Verb RunAs 参数启动,从而触发 Windows 用户帐户控制 (UAC) 提示。
随后,该攻击利用 DLL 侧加载技术执行恶意动态链接库,该库解密并启动最终有效载荷 CastleStealer。
先进的规避技术增加了检测难度
OXLOADER 融合了多种精密技术,专门用于阻碍分析和逃避检测:
- 多层混淆,包括控制流扁平化、不透明谓词和混合布尔算术技术。
这些功能表明,我们采取了一种经过深思熟虑和精心设计的策略,以避免静态和动态检测机制。
CastleStealer在网络犯罪行动中的影响力日益增强
CastleStealer 是一种基于 .NET 的信息窃取恶意软件家族,近期已出现在更多攻击活动中。此前,它曾与 CastleLoader 一起通过类似 ClickFix 的社交工程诱饵进行传播,该诱饵伪装成一款免费的图像编辑应用程序,此次行动被称为 BackgroundFix。CastleLoader 已被证实与 GrayBravo 威胁活动集群有关。
早期威胁,具有重大潜力
尽管OXLOADER似乎仍处于作战部署的早期阶段,但其技术复杂性值得防御者密切关注。多项特征表明其开发商投入了大量资源:
- 广泛的代码混淆和反虚拟机保护。
- 利用看似无害的代码来伪装恶意二进制文件,以及独特的有效载荷部署技术。
这些设计选择已被证明行之有效,使 OXLOADER 在静态扫描引擎和自动引爆环境中均能实现较低的检测率。因此,在广泛的检测特征和应对措施开发出来之前,该恶意软件目前拥有宝贵的运行窗口期。