An ninh mạng

Cảnh báo mã độc mới OXLOADER: Phát tán CastleStealer thông qua quảng cáo Google độc hại

Các nhà nghiên cứu bảo mật vừa phát hiện chiến dịch tấn công mới sử dụng mã độc loader có tên OXLOADER để phát tán phần mềm đánh cắp thông tin CastleStealer thông qua quảng cáo Google giả...

Nguyen Hung
22 Tháng 6, 2026 3 Min Read
1 0

Các chuyên gia từ Elastic Security Labs vừa công bố thông tin về một chiến dịch tấn công mạng tinh vi, sử dụng một loại malware loader mới có tên gọi OXLOADER. Mục tiêu chính của chiến dịch này là phát tán CastleStealer, một phần mềm đánh cắp thông tin (infostealer) nguy hiểm.

Table Of Content

Phương thức tấn công qua Malvertising

Chiến dịch này, được định danh là REF8372, khởi đầu bằng việc kẻ tấn công mua quảng cáo trên Google. Khi người dùng tìm kiếm các từ khóa liên quan đến phần mềm phổ biến như “lts version of node.js”, họ sẽ bị dẫn dụ đến các trang web giả mạo. Đáng chú ý, các quảng cáo này được đăng ký dưới tên một cá nhân tại Ukraine, dù chưa rõ đây là danh tính thật hay tài khoản bị chiếm đoạt.

Sau khi truy cập trang web giả mạo, người dùng bị lừa tải xuống một tệp script hàng loạt (batch script) được lưu trữ trên Storj – một nền tảng lưu trữ đám mây phi tập trung. Việc lạm dụng các dịch vụ hợp pháp như Storj giúp kẻ tấn công vượt qua các bộ lọc uy tín dựa trên tên miền (domain-based reputation filters).

Kỹ thuật né tránh tinh vi của OXLOADER

Khi thực thi, script này sẽ hiển thị một giao diện cài đặt giả mạo để đánh lừa người dùng, đồng thời âm thầm tải xuống OXLOADER thông qua lệnh PowerShell. Các kỹ thuật mà OXLOADER sử dụng để qua mặt các giải pháp bảo mật bao gồm:

  • DLL side-loading: Tải một tệp DLL độc hại để giải mã và thực thi payload CastleStealer.
  • Kỹ thuật làm rối mã nguồn (Obfuscation): Sử dụng control-flow flattening, opaque predicates và mixed Boolean-Arithmetic để gây khó khăn cho việc phân tích tĩnh.
  • Chống phân tích: Tích hợp các biện pháp kiểm tra môi trường để đảm bảo mã độc không chạy trong các môi trường sandbox hoặc máy ảo (VM).

Dựa trên các phân tích kỹ thuật, các chuyên gia nhận định nhóm đứng sau chiến dịch này có khả năng là những đối tượng nói tiếng Nga và có động cơ tài chính, do mã độc có chứa các đoạn mã loại trừ (exclusions) để tránh lây nhiễm vào các máy tính thuộc khu vực Cộng đồng các Quốc gia Độc lập (CIS).

Đánh giá từ chuyên gia

Elastic Security Labs cho biết dù OXLOADER đang trong giai đoạn đầu vận hành, nhưng cấu trúc kỹ thuật và các biện pháp chống phân tích cho thấy đây là một mối đe dọa cần được theo dõi sát sao. Sự đầu tư vào kỹ thuật làm rối mã nguồn giúp mã độc này duy trì tỷ lệ phát hiện thấp trên các công cụ quét tĩnh, tạo điều kiện cho kẻ tấn công thực hiện ý đồ trước khi bị các hệ thống bảo mật nhận diện.

Người dùng được khuyến cáo nên kiểm tra kỹ đường dẫn URL trước khi nhấp vào các kết quả quảng cáo trên công cụ tìm kiếm và chỉ tải xuống phần mềm từ các nguồn chính thống để tránh trở thành nạn nhân của các chiến dịch phishingmalvertising tương tự.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept