🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha que entrega CastleStealer por meio de um carregador de malware anteriormente não relatado, denominado OXLOADER.
De acordo com o Elastic Security Labs, a campanha utiliza anúncios maliciosos do Google como ponto de partida para distribuir o malware. As evidências indicam que o ator da ameaça provavelmente fala russo e tem motivação financeira, devido à presença de exclusões explícitas para evitar a infecção de máquinas localizadas na região da Comunidade de Estados Independentes (CEI). A campanha recebeu o codinome REF8372.
“O carregador usa várias camadas de ofuscação (nivelamento de fluxo de controle, predicados opacos, aritmética booleana mista), stubs de descriptografia automodificáveis e abusa da seção .reloc do Windows para preparar o shellcode”, disseram os pesquisadores Daniel Stepanic e Jia Yu Chan em um colapso técnico.
O ataque começa quando usuários desavisados inserem consultas como "versão lts do node.js" em mecanismos de pesquisa como o Google, redirecionando-os para um site falso ("node-js[.]prentiva99[.]info") exibido por meio de anúncios falsos publicados sob o nome verificado "ВОЛОДИМИР ТЕРЕЩЕНКО" que é supostamente baseado em Ucrânia.
Atualmente não se sabe se a conta do anunciante está vinculada ao verdadeiro autor da ameaça ou se é uma conta frontal ou uma identidade comprada. A conta do anunciante, juntamente com suas campanhas publicitárias, foi removida do Google em 14 de maio de 2026.
Os usuários que acabam interagindo com o site recebem um script em lote hospedado no Storj, uma plataforma de armazenamento em nuvem descentralizada e de código aberto. O abuso do Storj ilustra mais uma vez como os agentes de ameaças continuam a aproveitar serviços legítimos para escapar dos filtros de reputação baseados em domínios.
A execução do script em lote exibe uma interface de usuário (IU) falsa do assistente de instalação, enquanto baixa furtivamente uma carga útil de próximo estágio, um executável hospedado pelo Storj chamado OXLOADER por meio de um comando do PowerShell e executado com -Verb RunAs para acionar um prompt de Controle de Conta de Usuário do Windows (UAC).
O ataque então emprega carregamento lateral de DLL para lançar uma DLL não autorizada, que então prossegue para descriptografar e executar a carga útil do CastleStealer. OXLOADER também faz uso de técnicas como nivelamento de fluxo de controle (CFF) e aritmética booleana mista (MBA) para evitar a detecção estática, ao mesmo tempo que toma medidas para garantir que não seja executado em ambientes em área restrita.
CastleStealer é um ladrão de informações .NET que foi recentemente distribuído junto com o CastleLoader por meio de uma isca no estilo ClickFix, disfarçada de ferramenta gratuita de edição de imagens, como parte de uma campanha com o codinome BackgroundFix. CastleLoader é atribuído a um cluster de atividades de ameaças conhecido como GrayBravo.
“OXLOADER está em uma fase operacional inicial, mas a engenharia por trás dele sugere que vale a pena observar esta família”, disse Elastic. “A ofuscação do código, as medidas anti-VM, o código de aparência benigna usado para mascarar seus binários e as técnicas exclusivas de preparação refletem escolhas deliberadas de engenharia para evitar a análise”.
“Esse investimento está valendo a pena, resultando em baixas taxas de detecção em motores estáticos e execuções de detonação, dando ao OXLOADER uma janela para operar antes de ser caçado.”
De acordo com o Elastic Security Labs, a campanha utiliza anúncios maliciosos do Google como ponto de partida para distribuir o malware. As evidências indicam que o ator da ameaça provavelmente fala russo e tem motivação financeira, devido à presença de exclusões explícitas para evitar a infecção de máquinas localizadas na região da Comunidade de Estados Independentes (CEI). A campanha recebeu o codinome REF8372.
“O carregador usa várias camadas de ofuscação (nivelamento de fluxo de controle, predicados opacos, aritmética booleana mista), stubs de descriptografia automodificáveis e abusa da seção .reloc do Windows para preparar o shellcode”, disseram os pesquisadores Daniel Stepanic e Jia Yu Chan em um colapso técnico.
O ataque começa quando usuários desavisados inserem consultas como "versão lts do node.js" em mecanismos de pesquisa como o Google, redirecionando-os para um site falso ("node-js[.]prentiva99[.]info") exibido por meio de anúncios falsos publicados sob o nome verificado "ВОЛОДИМИР ТЕРЕЩЕНКО" que é supostamente baseado em Ucrânia.
Atualmente não se sabe se a conta do anunciante está vinculada ao verdadeiro autor da ameaça ou se é uma conta frontal ou uma identidade comprada. A conta do anunciante, juntamente com suas campanhas publicitárias, foi removida do Google em 14 de maio de 2026.
Os usuários que acabam interagindo com o site recebem um script em lote hospedado no Storj, uma plataforma de armazenamento em nuvem descentralizada e de código aberto. O abuso do Storj ilustra mais uma vez como os agentes de ameaças continuam a aproveitar serviços legítimos para escapar dos filtros de reputação baseados em domínios.
A execução do script em lote exibe uma interface de usuário (IU) falsa do assistente de instalação, enquanto baixa furtivamente uma carga útil de próximo estágio, um executável hospedado pelo Storj chamado OXLOADER por meio de um comando do PowerShell e executado com -Verb RunAs para acionar um prompt de Controle de Conta de Usuário do Windows (UAC).
O ataque então emprega carregamento lateral de DLL para lançar uma DLL não autorizada, que então prossegue para descriptografar e executar a carga útil do CastleStealer. OXLOADER também faz uso de técnicas como nivelamento de fluxo de controle (CFF) e aritmética booleana mista (MBA) para evitar a detecção estática, ao mesmo tempo que toma medidas para garantir que não seja executado em ambientes em área restrita.
CastleStealer é um ladrão de informações .NET que foi recentemente distribuído junto com o CastleLoader por meio de uma isca no estilo ClickFix, disfarçada de ferramenta gratuita de edição de imagens, como parte de uma campanha com o codinome BackgroundFix. CastleLoader é atribuído a um cluster de atividades de ameaças conhecido como GrayBravo.
“OXLOADER está em uma fase operacional inicial, mas a engenharia por trás dele sugere que vale a pena observar esta família”, disse Elastic. “A ofuscação do código, as medidas anti-VM, o código de aparência benigna usado para mascarar seus binários e as técnicas exclusivas de preparação refletem escolhas deliberadas de engenharia para evitar a análise”.
“Esse investimento está valendo a pena, resultando em baixas taxas de detecção em motores estáticos e execuções de detonação, dando ao OXLOADER uma janela para operar antes de ser caçado.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #carregador #oxloader #usa #anúncios #maliciosos #do #google #para #entregar #castlestealer
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário