OXLOADERマルウェア
サイバーセキュリティ研究者らは、これまで文書化されていなかったOXLOADERと呼ばれるマルウェアローダーを利用して情報窃盗マルウェア「CastleStealer」を拡散させる、REF8372と名付けられた新たなマルウェアキャンペーンを発見した。
この攻撃は、人気ソフトウェアを探しているユーザーを誘い込むように設計された悪質なGoogle広告から始まります。分析によると、この攻撃の背後にいる攻撃者はロシア語を話す人物で、金銭的な動機を持っている可能性が高いとされています。この評価は、マルウェアが独立国家共同体(CIS)に所在するシステムを意図的に除外していることに基づいています。これは、同地域で活動するサイバー犯罪グループが頻繁に用いる手口です。
キャンペーンの広告は、ウクライナを拠点としているとされる認証済みアカウント名「ВОЛОДИМИР ТЕРЕЩЕНКО」で公開されていましたが、このアカウントが運営者本人のものなのか、それとも不正アクセス、購入、または捏造されたアカウントなのかは不明です。Googleは2026年5月14日に広告主アカウントと関連キャンペーンを削除しました。
目次
検索エンジンの操作により、被害者は偽のソフトウェアサイトに誘導される
感染経路は、ユーザーがGoogleなどの検索エンジンで「node.jsのltsバージョン」といったキーワードで検索した際に開始されます。被害者は、スポンサー付きの検索結果を通じて、正規のソフトウェアリソースを装った偽のウェブサイト、node-js.prentiva99.infoに誘導されます。
不正なウェブサイトにアクセスしたユーザーは、分散型オープンソースのクラウドストレージプラットフォームであるStorj上でホストされているバッチスクリプトをダウンロードするように促されます。Storjのような正規サービスの悪用は、ドメインの評判やセキュリティフィルタリングメカニズムを回避するために、信頼できるプラットフォームをますます利用する脅威アクターの間で増加している傾向を浮き彫りにしています。
多段階感染連鎖が悪意のある活動を隠蔽する
ダウンロードしたバッチファイルを実行すると、偽のインストールウィザードが表示され、正規のソフトウェアセットアップを装いながら、Storjから次の段階のペイロードであるOXLOADERを密かにダウンロードします。このマルウェアはPowerShellコマンドで取得され、-Verb RunAsパラメータを指定して起動することで、Windowsユーザーアカウント制御(UAC)のプロンプトを生成します。
この攻撃では、DLLサイドローディング技術を用いて悪意のあるダイナミックリンクライブラリを実行し、最終的なペイロードであるCastleStealerを復号化して起動します。
高度な回避技術により、探知の難易度が上昇する。
OXLOADERは、分析を妨害し、検出を回避するために特別に設計された、いくつかの高度な技術を組み込んでいます。
- 制御フローの平坦化、不透明な述語、ブール演算と算術演算を組み合わせた手法など、複数の難読化レイヤーが用いられている。
これらの機能は、静的および動的な検出メカニズムの両方を回避するための、意図的かつ綿密に設計されたアプローチを示している。
CastleStealerのサイバー犯罪活動における存在感の高まり
CastleStealerは、.NETベースの情報窃盗マルウェアファミリーで、最近、新たなキャンペーンで出現しています。以前は、BackgroundFixと呼ばれる作戦において、無料の画像編集アプリケーションを装ったClickFixスタイルのソーシャルエンジニアリングの手法を用いて、CastleLoaderと共に拡散されていました。CastleLoaderは、GrayBravoとして追跡されている脅威活動クラスターに関連付けられています。
初期段階の脅威だが、大きな可能性を秘めている
OXLOADERは運用開始の初期段階にあるように見えるが、その高度な技術力は防衛側から綿密な監視を必要とする。いくつかの特徴から、開発者による相当な投資がうかがえる。
- 広範なコード難読化と仮想マシン対策。
- 悪意のあるバイナリを隠蔽するために、一見無害に見えるコードを使用すること、および独自のペイロードステージング技術。
これらの設計上の選択は既に有効であることが証明されており、OXLOADERは静的スキャンエンジンや自動検出環境において低い検出率を実現しています。その結果、このマルウェアは現在、広範な検出シグネチャや対策が開発されるまでの貴重な運用期間を享受しています。