OxLoader MaaS

Editors' Pick

Az Elastic Security Labs kutatói egy új, aktívan fejlesztett Malware-as-a-Service platformot azonosítottak OxLoader néven, amely elsődlegesen információlopó malware-ek terjesztésére szolgál. Az OxLoader nem maga az adatlopó komponens, hanem egy többlépcsős .NET alapú loader, amely különböző payloadokat – például Vidar, Stealc, RisePro és RedLine stealer változatokat – képes memóriából betölteni és futtatni. A szolgáltatást földalatti fórumokon havi előfizetéses modellben értékesítik, ami lehetővé teszi kevésbé képzett támadók számára is professzionális fertőzési láncok használatát.

A fertőzési folyamat jellemzően ClickFix technikával indul. Az áldozat adathalász e-mailből vagy hamis CAPTCHA oldalról egy LNK-fájlt vagy PowerShell parancsot futtat, amely letölti a következő komponenseket. Az OxLoader több egymásra épülő rétegen keresztül működik, ahol minden szakasz további dekódolási és visszafejtési feladatokat hajt végre, mielőtt a végső payload aktiválódna.

A malware egyik legfejlettebb eleme a saját fejlesztésű Virtual Machine Protection (VMP) rendszer, amely virtuális utasításkészletet használ a kód futtatására. Ez jelentősen megnehezíti a reverse engineeringet és az automatikus malware-elemzést. Emellett környezetvizsgálatot, sandbox-felderítést, debugger-ellenőrzést és többféle obfuszkációs technikát alkalmaz az észlelés elkerülésére.

Az Elastic szerint az OxLoader gyorsan terjed, mert egyszerre kínál fejlett rejtőzködési képességeket és egyszerű kezelhetőséget. 

FORRÁS