OXLOADER 惡意軟體
網路安全研究人員發現了一種名為 REF8372 的新型惡意軟體活動,該活動利用一種先前未記錄的惡意軟體載入器 OXLOADER 來部署竊取資訊的惡意軟體 CastleStealer。
這次攻擊行動始於惡意Google廣告,旨在誘騙用戶搜尋熱門軟體。分析表明,這次攻擊背後的攻擊者很可能會講俄語,並以經濟利益為目的。這項判決是基於惡意軟體刻意排除獨聯體(CIS)境內的系統,而這正是該地區網路犯罪集團常用的策略。
儘管該廣告活動的廣告以「ВОЛОДИМИР ТЕРЕЩЕНКО」這一經過驗證的名稱發布,據稱該名稱位於烏克蘭,但目前尚不清楚該名稱是否屬於運營商本人,還是代表一個被盜用、購買或偽造的帳戶。谷歌已於2026年5月14日移除了該廣告商帳號及其相關廣告活動。
目錄
搜尋引擎操縱將受害者引向虛假軟體網站
當用戶透過Google等搜尋引擎搜尋「lts version of node.js」之類的關鍵字時,感染鏈就會被觸發。受害者會被透過廣告連結重新導向到一個偽裝成合法軟體資源的假網站 node-js.prentiva99.info。
與詐騙網站互動的使用者會被誘導下載託管在 Storj(一個去中心化的開源雲端儲存平台)上的批次腳本。濫用 Storj 等合法服務凸顯了威脅行為者日益增長的趨勢,他們越來越依賴可信任平台來繞過網域信譽和安全過濾機制。
多階段感染鏈掩蓋惡意活動
下載的批次檔執行後會顯示一個虛假的安裝嚮導,營造出合法軟體安裝的假象,同時暗中從 Storj 下載下一階段的有效載荷 OXLOADER。該惡意軟體透過 PowerShell 命令獲取,並使用 -Verb RunAs 參數啟動,從而觸發 Windows 使用者帳戶控制 (UAC) 提示。
隨後,該攻擊利用 DLL 側載入技術執行惡意動態連結程式庫,該程式庫解密並啟動最終有效載荷 CastleStealer。
先進的規避技術增加了偵測難度
OXLOADER 融合了多種精密技術,專門用於阻礙分析和逃避偵測:
- 多層混淆,包括控制流扁平化、不透明謂詞和混合佈林算術技術。
這些功能表明,我們採取了一種經過深思熟慮和精心設計的策略,以避免靜態和動態檢測機制。
CastleStealer在網路犯罪行動的影響力日益增強
CastleStealer 是一種基於 .NET 的資訊竊取惡意軟體家族,近期已出現在更多攻擊活動中。此前,它曾與 CastleLoader 一起透過類似 ClickFix 的社交工程誘餌進行傳播,該誘餌偽裝成一款免費的圖像編輯應用程序,此次行動被稱為 BackgroundFix。 CastleLoader 已被證實與 GrayBravo 威脅活動群聚有關。
早期威脅,具有重大潛力
儘管OXLOADER似乎仍處於作戰部署的早期階段,但其技術複雜性值得防禦者密切關注。多項特徵顯示其開發商投入了大量資源:
- 廣泛的程式碼混淆和反虛擬機器保護。
- 利用看似無害的程式碼來偽裝惡意二進位文件,以及獨特的有效載荷部署技術。
這些設計選擇已被證明行之有效,使 OXLOADER 在靜態掃描引擎和自動引爆環境中均能實現較低的偵測率。因此,在廣泛的檢測特徵和應對措施開發出來之前,該惡意軟體目前擁有寶貴的運行窗口期。