Новиот OXLOADER користи злонамерни Google реклами за испорака на CastleStealer

Истражувачите за сајбер-безбедност објавија детали за нова кампања која го испорачува малициозниот софтвер CastleStealer преку претходно непознат malware loader наречен OXLOADER.

Според Elastic Security Labs, кампањата користи злонамерни реклами на Google Ads како почетна точка за дистрибуција на малициозниот софтвер.

Доказите укажуваат дека напаѓачот најверојатно зборува руски јазик и е финансиски мотивиран, бидејќи во малициозниот код постојат експлицитни механизми кои спречуваат инфицирање на компјутери лоцирани во земјите од регионот на Commonwealth of Independent States (ЗНД/CIS). Кампањата е означена со кодното име REF8372.

„Loader-от користи повеќе слоеви на замаглување (obfuscation), вклучувајќи израмнување на контролниот тек (control-flow flattening), непрозирни предикати (opaque predicates), мешани Boolean-аритметички операции, самоменувачки рутини за дешифрирање и ја злоупотребува Windows .reloc секцијата за поставување shellcode“, објаснуваат истражувачите Daniel Stepanic и Jia Yu Chan во нивната техничка анализа.

Како започнува нападот

Нападот започнува кога корисниците пребаруваат фрази како:

• „lts version of node.js“
• слични термини поврзани со преземање на Node.js

на пребарувачи како Google Search.

Потоа тие се пренасочуваат кон лажна веб-страница (node-js[.]prentiva99[.]info) која се појавува преку измамнички реклами објавени под потврдено име ВОЛОДИМИР ТЕРЕЩЕНКО, за кое се тврди дека е базирано во Ukraine.

Во моментов не е познато дали рекламната сметка навистина му припаѓала на напаѓачот или станува збор за лажна сметка, украден идентитет или купен профил.

Рекламната сметка и сите поврзани рекламни кампањи биле отстранети од Google на 14 мај 2026 година.

Следната фаза од инфекцијата

Корисниците кои ќе ја посетат лажната страница добиваат batch-скрипта хостирана на Storj, децентрализирана cloud-storage платформа со отворен код.

Злоупотребата на Storj уште еднаш покажува како напаѓачите сè почесто користат легитимни услуги и инфраструктура за да ги заобиколат системите за репутациска заштита базирани на домени и да го отежнат откривањето на нивните активности.

Оваа техника им овозможува на напаѓачите да ги прикријат злонамерните датотеки зад доверливи сервиси, со што се зголемува веројатноста корисниците да ги преземат и извршат без сомнеж.

Извршувањето на batch-скриптата прикажува лажен кориснички интерфејс (UI) за инсталациски волшебник (installation wizard), додека во позадина тајно презема и извршува дополнителен payload – извршна датотека хостирана на Storj наречена OXLOADER.

Преземањето се врши преку PowerShell команда, по што датотеката се стартува со параметарот -Verb RunAs, што предизвикува појавување на Windows User Account Control (UAC) прозорец за потврда.

Потоа нападот користи техника позната како DLL side-loading, при што се вчитува злонамерна DLL библиотека која продолжува со дешифрирање и извршување на payload-от на CastleStealer.

OXLOADER дополнително користи техники како:

• Control-Flow Flattening (CFF) – замаглување на текот на извршување на програмата.
• Mixed Boolean-Arithmetic (MBA) – комплексни математички и логички операции за отежнување на анализата.
• Механизми за откривање на виртуелни машини и sandbox околини за да избегне анализа од безбедносни истражувачи.

Поврзаност со претходни кампањи

CastleStealer е .NET инфостилер кој неодамна бил дистрибуиран заедно со CastleLoader преку измама од типот ClickFix, претставувајќи се како бесплатна алатка за уредување слики.

Оваа кампања била означена со кодното име BackgroundFix.

Истражувачите го поврзуваат CastleLoader со група на закани позната како GrayBravo.

Проценка на заканата

Според Elastic Security Labs, OXLOADER сè уште е во рана оперативна фаза, но покажува високо ниво на техничка софистицираност.

„OXLOADER е во рана фаза на употреба, но инженерските решенија зад него покажуваат дека оваа фамилија на малициозен софтвер вреди внимателно да се следи“, наведува Elastic.

Истражувачите истакнуваат дека комбинацијата од:

• напредно замаглување на кодот,
• анти-VM механизми,
• безопасно изгледачки функции кои ги прикриваат бинарните датотеки,
• уникатни техники за поставување и извршување на payload-и,

претставува намерен обид да се избегне анализа и откривање.

„Оваа инвестиција во развојот на малициозниот софтвер веќе дава резултати, бидејќи OXLOADER има ниска стапка на детекција кај статичките антивирусни механизми и sandbox анализите, што му овозможува одреден временски прозорец за дејствување пред да биде откриен и блокиран.“

Што краде CastleStealer?

Како инфостилер, CastleStealer е дизајниран да собира чувствителни податоци, вклучувајќи:

• зачувани лозинки во прелистувачи,
• колачиња за најава (session cookies),
• криптовалутни паричници,
• податоци за автентикација,
• системски информации за заразениот уред.

Ова им овозможува на напаѓачите да преземат сметки, да крадат дигитални средства или да користат компромитирани системи за понатамошни напади.

Извори:

• The Hacker News – New OXLOADER Loader Uses Malicious Google Ads to Deliver CastleStealer The Hacker News