L’evoluzione delle campagne malware orientate al furto di informazioni continua a mostrare livelli sempre più elevati di sofisticazione tecnica. I ricercatori di Elastic Security Labs hanno identificato un nuovo loader malware per Windows denominato OXLOADER, utilizzato per distribuire un inedito infostealer chiamato CASTLESTEALER attraverso una catena di infezione che sfrutta annunci pubblicitari malevoli su Google, falsi download di Node.js e servizi cloud legittimi come Storj. La campagna si distingue per l’impiego di tecniche avanzate di evasione, offuscamento e anti-analisi che consentono al malware di mantenere tassi di rilevamento particolarmente bassi sia negli scanner statici sia negli ambienti di sandboxing automatico. Secondo gli analisti, l’operazione appare guidata da motivazioni economiche e presenta diversi elementi compatibili con un attore di lingua russa.
Cosa leggere
La campagna malware parte da annunci Google che imitano Node.js
L’infezione prende avvio attraverso annunci sponsorizzati pubblicati sulla piattaforma Google Ads che impersonano il sito ufficiale di Node.js, uno degli ambienti di sviluppo più utilizzati al mondo. Le vittime, prevalentemente localizzate negli Stati Uniti, visualizzano risultati sponsorizzati apparentemente legittimi e vengono reindirizzate verso il dominio malevolo node-js.prentiva99.info, progettato per simulare l’interfaccia del portale ufficiale. Da quel momento entra in azione una catena di reindirizzamenti che conduce verso un secondo dominio intermedio e successivamente a uno script batch ospitato su Storj, servizio legittimo di distribuzione file sfruttato dagli attaccanti per aggirare controlli reputazionali e blacklist basate sui domini. Lo script eseguito sul sistema vittima simula un normale wizard di installazione software, inducendo l’utente a credere di stare installando Node.js.
Profilo dell’inserzionista nel Centro trasparenza di Google Ads
In realtà avvia immediatamente il download del payload OXLOADER tramite PowerShell e lo esegue con privilegi elevati utilizzando il parametro -Verb RunAs, consentendo così al malware di operare con autorizzazioni amministrative. Una variante osservata dagli analisti utilizza un file denominato node-v24.15.0-x64-86.exe, progettato per rafforzare ulteriormente l’illusione di un installer legittimo.
OXLOADER utilizza tecniche avanzate di offuscamento
Una delle caratteristiche più interessanti di OXLOADER è la complessità delle tecniche di offuscamento implementate per ostacolare l’analisi da parte di ricercatori e sistemi di sicurezza. Il malware avvia parte delle proprie attività già durante la fase di inizializzazione del CRT (C Runtime), prima ancora che il codice utente venga eseguito normalmente.
Download e avvio dello script batch di OXLOADER
Gli sviluppatori del loader hanno implementato meccanismi di control-flow flattening, tecniche di mixed Boolean-Arithmetic (MBA), predicati opachi e frammentazione del codice in blocchi non contigui. Le funzioni vengono collegate tramite salti incondizionati e indirizzi calcolati dinamicamente a runtime attraverso operazioni matematiche complesse. Questo approccio rende molto più difficile ricostruire il flusso logico dell’eseguibile durante le analisi statiche. OXLOADER utilizza inoltre stub di decrittazione auto-modificanti che applicano tre cicli consecutivi di decifratura mediante un algoritmo XOR rolling, aggiornando continuamente la chiave utilizzata sulla base dei byte appena elaborati. Anche le stringhe vengono mantenute cifrate e decrittate soltanto durante l’esecuzione, mentre la risoluzione delle API Windows avviene dinamicamente tramite hashing Adler-32, eliminando riferimenti diretti facilmente identificabili dagli strumenti di analisi.
I controlli anti-sandbox rendono difficile il rilevamento
Per evitare l’identificazione automatica da parte di laboratori di analisi e piattaforme di detonazione malware, OXLOADER integra una serie di controlli anti-VM e anti-sandbox particolarmente aggressivi. Il malware verifica innanzitutto che il sistema disponga di almeno tre processori logici e di almeno tre gigabyte di memoria RAM, requisiti spesso assenti nelle macchine virtuali utilizzate per l’analisi automatica.
catena di infezione
Successivamente interroga il sistema tramite WMI per verificare che il monitor presenti una frequenza di refresh superiore a 20 Hz, ulteriore parametro utilizzato per distinguere sistemi reali da ambienti virtualizzati. OXLOADER implementa inoltre un controllo specifico basato sulla funzione WNetAddConnection2W, utilizzata con una risorsa deliberatamente malformata per identificare comportamenti anomali tipici degli emulatori. Sul piano geografico il malware applica una politica di esclusione molto chiara: vengono ignorati i sistemi appartenenti ai Paesi della CIS (Commonwealth of Independent States) e quelli configurati con lingua russa identificata dal codice 0x419 tramite GetUserDefaultUILanguage.
| Controllo | Metodo | Soglia / Condizione |
|---|---|---|
| Emulazione | WNetAddConnection2 | Risorsa malformata (ERROR_BAD_NAME / 0x43) |
| Conteggio CPU | Verifica ambiente processo | ≥ 3 CPU |
| RAM | GlobalMemoryStatusEx | ≥ 3 GB memoria fisica |
| Frequenza Display | Win32_VideoController (WMI) | ≥ 20 Hz |
| Regione Geografica | GetUserGeoID | Esclusione geoidi area CSI |
Questo comportamento è spesso osservato nelle operazioni riconducibili a gruppi criminali operanti nello spazio post-sovietico e rappresenta uno degli elementi che suggeriscono una possibile origine russofona degli autori.
Il loader sfrutta tecniche insolite per eseguire il payload
Una volta superati tutti i controlli ambientali, OXLOADER avvia la fase di esecuzione vera e propria utilizzando una metodologia poco comune. Il malware copia il file di sistema C:\Windows\System32\dui70.dll all’interno di una directory temporanea assegnandogli un’estensione .ocx casuale. Successivamente crea all’interno del file una nuova sezione denominata .xtext con permessi completi RWX (Read Write Execute) e la carica in memoria. Una particolarità osservata dagli analisti riguarda l’utilizzo della sezione .reloc, normalmente destinata alla gestione delle rilocazioni degli eseguibili Windows. In questo caso la sezione viene trasformata in contenitore per shellcode malevolo che viene successivamente copiato nella nuova sezione eseguibile e lanciato all’interno del processo. Questa tecnica consente di sfruttare strutture apparentemente legittime del formato PE per nascondere componenti malevoli, complicando ulteriormente le attività di rilevamento e reverse engineering.
DonutLoader e Chaskey-LTS proteggono CASTLESTEALER
Lo shellcode eseguito da OXLOADER utilizza DonutLoader, noto framework impiegato per l’esecuzione in memoria di assembly .NET senza necessità di scrivere file permanenti sul disco. Attraverso questo meccanismo il malware carica ed esegue direttamente CASTLESTEALER, il payload finale responsabile del furto di informazioni. Durante la fase di unpacking viene inoltre decifrata una configurazione embedded utilizzando l’algoritmo crittografico Chaskey-LTS in modalità CTR (Counter Mode). Questa scelta contribuisce a mantenere nascosti i parametri operativi fino all’effettiva esecuzione del malware sulla macchina bersaglio. L’utilizzo di tecniche fileless riduce drasticamente la superficie di rilevamento basata su firme tradizionali e consente agli operatori della campagna di aggirare numerosi controlli endpoint focalizzati principalmente sui file presenti sul disco.
CASTLESTEALER emerge come nuovo infostealer per Windows
Secondo Elastic Security Labs, CASTLESTEALER rappresenta un malware precedentemente non documentato e sviluppato specificamente per operazioni di raccolta credenziali e furto di informazioni. Il payload viene eseguito completamente in memoria e mostra comportamenti compatibili con la famiglia degli infostealer, categoria di malware orientata alla sottrazione di credenziali, cookie, token di autenticazione e altre informazioni sensibili memorizzate sui sistemi delle vittime. I ricercatori hanno osservato indicatori dell’attività malevola già durante l’esecuzione dello script batch iniziale, identificando il caricamento anomalo del Common Language Runtime (.NET CLR) da regioni di memoria sospette. Questo comportamento è coerente con l’impiego di DonutLoader e con la volontà degli autori di evitare qualsiasi persistenza su disco. L’intera catena di infezione appare progettata per massimizzare la furtività operativa e ridurre il numero di artefatti lasciati sul sistema compromesso.
Indicatori di compromissione e misure di difesa
L’analisi condotta da Elastic evidenzia come OXLOADER presenti tassi di rilevamento particolarmente bassi sia nelle scansioni statiche sia nelle detonazioni automatiche. Tra gli indicatori più rilevanti figurano il download di script batch da endpoint ospitati su Storj, l’esecuzione di file che impersonano installer legittimi di Node.js o di altri software di sviluppo e il caricamento anomalo del runtime .NET da memoria. Le organizzazioni dovrebbero monitorare con particolare attenzione il traffico proveniente da annunci sponsorizzati relativi a software di sviluppo, verificare l’autenticità dei domini di download e implementare soluzioni di Endpoint Detection and Response (EDR) dotate di capacità di rilevamento comportamentale avanzato. L’incidente conferma inoltre una tendenza ormai consolidata: gli attori malware stanno spostando sempre più spesso le proprie infrastrutture verso servizi cloud legittimi e piattaforme affidabili, rendendo insufficiente l’utilizzo esclusivo di controlli reputazionali basati sui domini.
OXLOADER conferma l’evoluzione delle campagne malware moderne
La scoperta di OXLOADER e CASTLESTEALER dimostra come il panorama delle minacce Windows continui a evolvere verso modelli sempre più sofisticati e professionali. L’utilizzo combinato di Google Ads, servizi cloud legittimi come Storj, tecniche avanzate di offuscamento, controlli geografici, esecuzione fileless e payload caricati esclusivamente in memoria evidenzia un livello di maturità operativa tipico delle campagne malware moderne. Gli autori non si affidano più soltanto a vulnerabilità tecniche, ma sfruttano fiducia, pubblicità online e strumenti legittimi per aumentare la probabilità di successo. In questo scenario la capacità di rilevare comportamenti anomali, piuttosto che semplici firme malware, diventa sempre più importante per difendere sistemi e organizzazioni da minacce progettate specificamente per sfuggire ai controlli tradizionali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
