Logiciel malveillant OXLOADER

Des chercheurs en cybersécurité ont découvert une nouvelle campagne de logiciels malveillants, désignée REF8372, qui utilise un chargeur de logiciels malveillants jusqu'alors inconnu, connu sous le nom d'OXLOADER, pour déployer le logiciel malveillant voleur d'informations CastleStealer.

L'opération débute par des publicités Google malveillantes conçues pour piéger les victimes recherchant des logiciels populaires. L'analyse suggère que les auteurs de cette campagne sont probablement russophones et motivés par le gain financier. Cette conclusion repose sur l'exclusion délibérée, par le logiciel malveillant, des systèmes situés dans la Communauté des États indépendants (CEI), une tactique fréquemment employée par les groupes cybercriminels opérant dans la région.

Bien que les publicités de la campagne aient été publiées sous le nom vérifié « ВОЛОДИМИР ТЕРЕЩЕНКО », prétendument basé en Ukraine, il n'est pas clair si cette identité appartient aux opérateurs eux-mêmes ou s'il s'agit d'un compte compromis, acheté ou falsifié. Google a supprimé le compte de l'annonceur et les campagnes associées le 14 mai 2026.

La manipulation des moteurs de recherche redirige les victimes vers de faux sites de logiciels.

La chaîne d'infection se déclenche lorsque les utilisateurs recherchent des termes tels que « version LTS de Node.js » sur des moteurs de recherche comme Google. Les victimes sont redirigées, via des résultats sponsorisés, vers un site web contrefait, node-js.prentiva99.info, se faisant passer pour une ressource logicielle légitime.

Les utilisateurs qui interagissent avec le site web frauduleux sont invités à télécharger un script hébergé sur Storj, une plateforme de stockage cloud décentralisée et open source. L'utilisation abusive de services légitimes comme Storj met en lumière une tendance croissante chez les cybercriminels, qui s'appuient de plus en plus sur des plateformes de confiance pour contourner les mécanismes de réputation des domaines et de filtrage de sécurité.

Une chaîne d’infection à plusieurs étapes dissimule une activité malveillante

L'exécution du fichier batch téléchargé affiche un faux assistant d'installation, créant l'illusion d'une installation logicielle légitime tout en téléchargeant subrepticement la charge utile suivante, OXLOADER, depuis Storj. Le logiciel malveillant est récupéré via une commande PowerShell et lancé avec le paramètre -Verb RunAs, générant une invite du Contrôle de compte d'utilisateur (UAC) de Windows.

L'attaque utilise ensuite des techniques de chargement latéral de DLL pour exécuter une bibliothèque de liens dynamiques malveillante, qui déchiffre et lance la charge utile finale, CastleStealer.

Les techniques d’évasion avancées augmentent les difficultés de détection.

OXLOADER intègre plusieurs techniques sophistiquées spécifiquement conçues pour entraver l'analyse et échapper à la détection :

  • Plusieurs couches d'obfuscation, notamment l'aplatissement du flux de contrôle, les prédicats opaques et les techniques mixtes booléennes-arithmétiques.
  • Routines de déchiffrement auto-modifiables, abus de la section .reloc de Windows pour la préparation de shellcode et mécanismes anti-sandbox qui empêchent l'exécution dans des environnements d'analyse virtualisés.

Ces capacités témoignent d'une approche délibérée et bien conçue visant à éviter les mécanismes de détection statiques et dynamiques.

Présence croissante de CastleStealer dans les opérations de cybercriminalité

CastleStealer est une famille de logiciels malveillants .NET conçue pour le vol d'informations et récemment apparue dans de nouvelles campagnes. Auparavant, elle était distribuée conjointement avec CastleLoader via une technique d'ingénierie sociale similaire à ClickFix, se faisant passer pour une application gratuite de retouche d'images dans le cadre d'une opération appelée BackgroundFix. CastleLoader a été associé au groupe d'activités malveillantes GrayBravo.

Menace à un stade précoce présentant un potentiel important

Bien qu'OXLOADER semble être encore au début de son déploiement opérationnel, sa sophistication technique justifie une attention particulière de la part des défenseurs. Plusieurs caractéristiques témoignent d'un investissement conséquent de la part de ses développeurs :

  • Obfuscation de code étendue et protections contre les machines virtuelles.
  • Utilisation d'un code d'apparence anodine pour dissimuler des fichiers binaires malveillants et techniques uniques de préparation de la charge utile.

Ces choix de conception ont déjà démontré leur efficacité, permettant à OXLOADER d'atteindre de faibles taux de détection auprès des moteurs d'analyse statique et des environnements de détonation automatisés. De ce fait, le logiciel malveillant bénéficie actuellement d'une précieuse fenêtre opérationnelle avant le développement de signatures de détection et de contre-mesures généralisées.

Le plus regardé

Chargement...