Bedrohungsdatenbank Malware OXLOADER-Malware

OXLOADER-Malware

Cybersicherheitsforscher haben eine neue Malware-Kampagne mit der Bezeichnung REF8372 entdeckt, die einen bisher undokumentierten Malware-Loader namens OXLOADER verwendet, um die informationsstehlende Malware CastleStealer einzusetzen.

Die Operation beginnt mit manipulierten Google-Anzeigen, die darauf abzielen, Opfer, die nach gängiger Software suchen, in die Falle zu locken. Analysen deuten darauf hin, dass die Akteure hinter der Kampagne wahrscheinlich russischsprachig und finanziell motiviert sind. Diese Einschätzung basiert auf der Tatsache, dass die Schadsoftware gezielt Systeme in der Gemeinschaft Unabhängiger Staaten (GUS) ausschließt – eine Taktik, die von Cyberkriminellen in der Region häufig angewendet wird.

Obwohl die Anzeigen der Kampagne unter dem verifizierten Namen „ВОЛОДИМИР ТЕРЕЩЕНКО“ veröffentlicht wurden, der angeblich in der Ukraine ansässig ist, bleibt unklar, ob diese Identität den Betreibern selbst gehört oder ob es sich um ein kompromittiertes, gekauftes oder gefälschtes Konto handelt. Google entfernte das Werbekonto und die zugehörigen Kampagnen am 14. Mai 2026.

Suchmaschinenmanipulation führt Opfer auf gefälschte Software-Websites

Die Infektionskette wird ausgelöst, wenn Nutzer über Suchmaschinen wie Google nach Begriffen wie „LTS-Version von Node.js“ suchen. Die Opfer werden über gesponserte Suchergebnisse auf eine gefälschte Website, node-js.prentiva99.info, weitergeleitet, die sich als legitime Software-Ressource ausgibt.

Nutzer, die mit der betrügerischen Website interagieren, werden aufgefordert, ein Batch-Skript herunterzuladen, das auf Storj, einer dezentralen Open-Source-Cloud-Speicherplattform, gehostet wird. Der Missbrauch legitimer Dienste wie Storj verdeutlicht einen wachsenden Trend unter Cyberkriminellen, die zunehmend auf vertrauenswürdige Plattformen setzen, um Reputations- und Sicherheitsfiltermechanismen zu umgehen.

Mehrstufige Infektionskette verschleiert böswillige Aktivitäten

Die Ausführung der heruntergeladenen Batch-Datei zeigt einen gefälschten Installationsassistenten an und erweckt so den Eindruck einer legitimen Softwareinstallation, während gleichzeitig die nächste Schadsoftware, OXLOADER, von Storj heruntergeladen wird. Die Malware wird über einen PowerShell-Befehl abgerufen und mit dem Parameter „-Verb RunAs“ gestartet, wodurch eine Windows-Benutzerkontensteuerungs-Aufforderung (UAC) ausgelöst wird.

Der Angriff nutzt anschließend DLL-Sideloading-Techniken, um eine bösartige dynamische Linkbibliothek auszuführen, die die endgültige Nutzlast CastleStealer entschlüsselt und startet.

Fortgeschrittene Ausweichtechniken erhöhen die Herausforderungen bei der Aufklärung.

OXLOADER verwendet mehrere ausgeklügelte Techniken, die speziell entwickelt wurden, um die Analyse zu erschweren und die Entdeckung zu umgehen:

  • Mehrere Verschleierungsebenen, darunter Kontrollflussglättung, undurchsichtige Prädikate und gemischte Boolesche-Arithmetik-Techniken.
  • Selbstmodifizierende Entschlüsselungsroutinen, Missbrauch des Windows .reloc-Abschnitts für Shellcode-Staging und Anti-Sandbox-Mechanismen, die die Ausführung in virtualisierten Analyseumgebungen verhindern.
  • Diese Fähigkeiten demonstrieren einen bewussten und gut durchdachten Ansatz zur Vermeidung sowohl statischer als auch dynamischer Erkennungsmechanismen.

    Die wachsende Präsenz von CastleStealer bei Cyberkriminalitätsoperationen

    CastleStealer ist eine .NET-basierte Malware-Familie zum Informationsdiebstahl, die kürzlich in weiteren Kampagnen aufgetaucht ist. Sie wurde zuvor zusammen mit CastleLoader über eine ClickFix-ähnliche Social-Engineering-Masche verbreitet, die sich als kostenlose Bildbearbeitungsanwendung ausgab (bekannt als BackgroundFix). CastleLoader wird mit dem Bedrohungscluster GrayBravo in Verbindung gebracht.

    Frühstadium-Bedrohung mit erheblichem Potenzial

    Obwohl sich OXLOADER offenbar noch in der frühen Phase des operativen Einsatzes befindet, rechtfertigt seine technische Raffinesse die genaue Beobachtung durch die Verteidiger. Mehrere Merkmale deuten auf erhebliche Investitionen seitens der Entwickler hin:

    • Umfangreiche Codeverschleierung und Schutzmechanismen gegen virtuelle Maschinen.
    • Verwendung von harmlos aussehendem Code zur Verschleierung bösartiger Binärdateien und einzigartige Payload-Staging-Techniken.

    Diese Designentscheidungen haben sich bereits als effektiv erwiesen und ermöglichen es OXLOADER, niedrige Erkennungsraten bei statischen Scan-Engines und automatisierten Detonationsumgebungen zu erzielen. Dadurch profitiert die Malware derzeit von einem wertvollen Zeitfenster, bevor weitverbreitete Erkennungssignaturen und Gegenmaßnahmen entwickelt werden.

    Am häufigsten gesehen

    Wird geladen...