Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe campagne die CastleStealer levert via een niet eerder gerapporteerde malware-lader genaamd OXLADER.
Volgens Elastic Security Labs gebruikt de campagne kwaadaardige Google-advertenties als startpunt om de malware te verspreiden. Er zijn aanwijzingen dat de dreigingsactor waarschijnlijk Russisch spreekt en financieel gemotiveerd is, vanwege de aanwezigheid van expliciete uitsluitingen om te voorkomen dat machines in de regio van het Gemenebest van Onafhankelijke Staten (GOS) worden geïnfecteerd. De campagne heeft de codenaam REF8372 gekregen.
“De loader gebruikt verschillende verduisteringslagen (control-flow afvlakking, ondoorzichtige predikaten, gemengde Booleaanse rekenkunde), zelfmodificerende decoderingsstubs, en misbruikt de Windows .reloc-sectie om shellcode te stagen”, zeiden onderzoekers Daniel Stepanic en Jia Yu Chan in een technische storing.
De aanval begint wanneer nietsvermoedende gebruikers zoekopdrachten zoals “lts versie van node.js” invoeren in zoekmachines zoals Google, en hen doorverwijzen naar een nepwebsite (“node-js(.)prentiva99(.)info”) die opduikt via valse advertenties die zijn gepubliceerd onder de geverifieerde naam “ВОЛОДИМИР ТЕРЕЩЕНКО” en die naar verluidt in Oekraïne is gevestigd.
Het is momenteel niet bekend of het adverteerdersaccount is gekoppeld aan de daadwerkelijke bedreigingsacteur, of dat het een frontaccount of een gekochte identiteit is. Het adverteerdersaccount is samen met de bijbehorende advertentiecampagnes op 14 mei 2026 van Google verwijderd.
Gebruikers die uiteindelijk interactie hebben met de site krijgen een batchscript te zien dat wordt gehost op Storj, een gedecentraliseerd, open-source cloudopslagplatform. Het misbruik van Storj illustreert opnieuw hoe bedreigingsactoren legitieme diensten blijven gebruiken om domeingebaseerde reputatiefilters te omzeilen.
Door het batchscript uit te voeren, wordt een valse gebruikersinterface (UI) van de installatiewizard weergegeven, terwijl heimelijk een payload van de volgende fase wordt gedownload, een door Storj gehost uitvoerbaar bestand genaamd OXLOADER via een PowerShell-opdracht en uitgevoerd met -Verb RunAs om een Windows User Account Control (UAC)-prompt te activeren.
De aanval maakt vervolgens gebruik van DLL-side-loading om een frauduleuze DLL te lanceren, die vervolgens overgaat tot het decoderen en uitvoeren van de CastleStealer-payload. OXLOADER maakt ook gebruik van technieken als control-flow flattening (CFF) en mixed Boolean-Arithmetic (MBA) om statische detectie te omzeilen, terwijl het ook stappen onderneemt om ervoor te zorgen dat het niet in sandbox-omgevingen draait.
CastleStealer is een .NET-informatiedief die onlangs samen met CastleLoader werd verspreid via een ClickFix-stijl lokmiddel dat zich voordeed als een gratis hulpmiddel voor het bewerken van afbeeldingen als onderdeel van een campagne met de codenaam BackgroundFix. CastleLoader wordt toegeschreven aan een cluster van bedreigingsactiviteiten dat bekend staat als GrayBravo.
“OXLOADER bevindt zich in een vroege operationele fase, maar de techniek erachter suggereert dat deze familie het bekijken waard is”, aldus Elastic. “De verduistering van de code, de anti-VM-maatregelen, de goedaardig ogende code die wordt gebruikt om de binaire bestanden te maskeren en de unieke staging-technieken weerspiegelen opzettelijke technische keuzes om analyse te omzeilen.”
“Die investering werpt zijn vruchten af, wat resulteert in lage detectiepercentages bij statische motoren en detonatieruns, waardoor OXLOADER een kans krijgt om te werken voordat hij wordt opgejaagd.”
