Ένα ιδιαίτερα προηγμένο malware loader με την ονομασία OysterLoader έχει αναδειχθεί σε σημαντική απειλή στον χώρο της κυβερνοασφάλειας. Εντοπίστηκε πρώτη φορά τον Ιούνιο του 2024 και είναι γραμμένο σε C++.
Διανέμεται κυρίως μέσω ψεύτικων ιστοσελίδων που μιμούνται νόμιμες εφαρμογές όπως PuTTY, WinSCP, Google Authenticator και διάφορα εργαλεία AI. Συχνά εμφανίζεται ως αρχεία Microsoft Installer – ακόμη και με ψηφιακές υπογραφές – ώστε να φαίνεται αξιόπιστο και να παραπλανεί τους χρήστες.
Η σύνδεση με ransomware και άλλες απειλές
Το OysterLoader λειτουργεί μέσω μιας σύνθετης αλυσίδας μόλυνσης τεσσάρων σταδίων, ξεκινώντας από TextShell packer και καταλήγοντας στην εγκατάσταση του βασικού κακόβουλου φορτίου.
Έχει συνδεθεί κυρίως με επιθέσεις ransomware Rhysida, ενώ ερευνητές έχουν παρατηρήσει ότι χρησιμοποιείται και για τη διανομή άλλων malware όπως το Vidar, ένα από τα πιο διαδεδομένα infostealers στις αρχές του 2026. Η σύνδεσή του με οργανωμένες ομάδες κυβερνοεγκλήματος δείχνει τη σοβαρότητα της απειλής.
Προηγμένες τεχνικές απόκρυψης και επίθεσης
Το malware διαθέτει εξελιγμένες δυνατότητες αποφυγής εντοπισμού, όπως δυναμική ανάλυση API, ειδικούς αλγορίθμους hashing και μηχανισμούς ανίχνευσης sandbox. Οι δημιουργοί του ενημερώνουν συνεχώς τον κώδικα και τα πρωτόκολλα επικοινωνίας ώστε να παραμένει αποτελεσματικό απέναντι στα συστήματα ασφαλείας.
Επιπλέον, χρησιμοποιεί υποδομή command and control δύο επιπέδων – διακομιστές αρχικής σύνδεσης και τελικούς διακομιστές διαχείρισης θυμάτων.
Μηχανισμός μόλυνσης και στεγανογραφία
Η διαδικασία μόλυνσης είναι ιδιαίτερα πολύπλοκη. Αρχικά το σύστημα ελέγχεται ώστε να υπάρχουν τουλάχιστον 60 ενεργές διεργασίες και στη συνέχεια δημιουργείται επικοινωνία μέσω HTTPS με διακομιστές ελέγχου. Το επόμενο στάδιο του κακόβουλου φορτίου κρύβεται μέσα σε αρχεία εικόνων με τεχνικές στεγανογραφίας, με τον κώδικα να βρίσκεται μετά από ειδικό μοτίβο που φέρει την ένδειξη «endico».
Μόνιμη εγκατάσταση και δυσκολία εντοπισμού
Το κρυπτογραφημένο φορτίο αποκρυπτογραφείται με RC4, αποθηκεύεται ως DLL στον φάκελο AppData και εκτελείται μέσω προγραμματισμένων εργασιών κάθε 13 λεπτά, εξασφαλίζοντας μόνιμη πρόσβαση στο μολυσμένο σύστημα.
Η επικοινωνία γίνεται με προσαρμοσμένη κωδικοποίηση JSON και μη τυπική Base64, κάτι που δυσκολεύει σημαντικά την ανάλυση της δικτυακής κίνησης από τις ομάδες ασφαλείας.
