Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới phát tán CastleStealer thông qua một trình tải mã độc (loader) chưa từng được báo cáo trước đây mang tên OXLOADER.
Theo Elastic Security Labs, chiến dịch này tận dụng các Google Ads độc hại làm điểm bắt đầu để phân phối mã độc. Các bằng chứng cho thấy tác nhân đe dọa (threat actor) có khả năng là người nói tiếng Nga và có động cơ tài chính, do sự hiện diện của các quy tắc loại trừ rõ ràng nhằm ngăn chặn việc lây nhiễm các máy tính nằm trong khu vực Cộng đồng các Quốc gia Độc lập (CIS). Chiến dịch này được đặt mã danh là REF8372.
"Trình tải này sử dụng nhiều lớp ngụy trang (control-flow flattening, opaque predicates, mixed Boolean-Arithmetic), các đoạn mã giải mã tự sửa đổi (self-modifying decryption stubs) và lạm dụng phần .reloc của Windows để thực thi shellcode," các nhà nghiên cứu Daniel Stepanic và Jia Yu Chan cho biết trong một bản phân tích kỹ thuật.
Quy trình tấn công qua quảng cáo giả mạo
Cuộc tấn công bắt đầu khi những người dùng không cảnh giác nhập các truy vấn như "lts version of node.js" trên các công cụ tìm kiếm như Google. Họ bị chuyển hướng đến một trang web giả mạo ("node-js[.]prentiva99[.]info") xuất hiện thông qua các quảng cáo giả mạo được đăng dưới tên xác thực "ВОЛОДИМИР ТЕРЕЩЕНКО", được cho là có trụ sở tại Ukraine.
Hiện chưa rõ liệu tài khoản nhà quảng cáo này có liên kết trực tiếp với tác nhân đe dọa hay không, hay đó là một tài khoản bù nhìn hoặc danh tính bị mua lại. Tài khoản nhà quảng cáo này, cùng với các chiến dịch quảng cáo của nó, đã bị Google xóa bỏ vào ngày 14 tháng 5 năm 2026.
Những người dùng tương tác với trang web sẽ được cung cấp một tệp script batch được lưu trữ trên Storj, một nền tảng lưu trữ đám mây phi tập trung, mã nguồn mở. Việc lạm dụng Storj một lần nữa minh họa cách các tác nhân đe dọa tiếp tục tận dụng các dịch vụ hợp pháp để vượt qua các bộ lọc uy tín dựa trên tên miền (domain-based reputation filters).
Kỹ thuật lẩn trốn và payload CastleStealer
Khi chạy script batch, một giao diện trình cài đặt giả mạo (UI) sẽ hiển thị, trong khi mã độc âm thầm tải xuống payload giai đoạn tiếp theo là một tệp thực thi được lưu trữ trên Storj mang tên OXLOADER thông qua lệnh PowerShell và thực thi nó với tham số -Verb RunAs để kích hoạt cửa sổ Windows User Account Control (UAC).
Sau đó, cuộc tấn công sử dụng kỹ thuật DLL side-loading để khởi chạy một DLL độc hại, tệp này sẽ tiến hành giải mã và thực thi payload CastleStealer. OXLOADER cũng sử dụng các kỹ thuật như control-flow flattening (CFF) và mixed Boolean-Arithmetic (MBA) để trốn tránh việc phát hiện tĩnh, đồng thời thực hiện các bước để đảm bảo nó không chạy trong các môi trường sandbox.
CastleStealer là một phần mềm đánh cắp thông tin (information stealer) dựa trên .NET, gần đây đã được phân phối cùng với CastleLoader thông qua một mồi nhử kiểu ClickFix giả dạng là một công cụ chỉnh sửa ảnh miễn phí như một phần của chiến dịch mang tên BackgroundFix. CastleLoader được quy kết cho một nhóm hoạt động đe dọa được gọi là GrayBravo.
"OXLOADER đang ở giai đoạn vận hành ban đầu, nhưng kỹ thuật đằng sau nó cho thấy dòng mã độc này rất đáng để theo dõi," Elastic cho biết. "Việc xáo trộn mã, các biện pháp chống VM, mã trông có vẻ lành tính được sử dụng để ngụy trang cho các tệp nhị phân và các kỹ thuật dàn dựng độc đáo phản ánh những lựa chọn kỹ thuật có chủ đích nhằm trốn tránh sự phân tích."
"Sự đầu tư đó đang mang lại kết quả, dẫn đến tỷ lệ phát hiện thấp trên các công cụ quét tĩnh và môi trường thực thi thử nghiệm, tạo cho OXLOADER một khoảng thời gian để hoạt động trước khi bị truy lùng."