Pesquisadores de cibersegurança revelaram detalhes de uma nova campanha que distribui o CastleStealer por meio de um loader de malware até então não reportado, batizado de OXLOADER.
Segundo a Elastic Security Labs, a campanha usa anúncios maliciosos do Google como ponto de partida para disseminar o malware.
As evidências indicam que o threat actor provavelmente fala russo e tem motivação financeira, já que há exclusões explícitas para impedir a infecção de máquinas localizadas na região da Comunidade dos Estados Independentes, a CIS.
A campanha recebeu o codinome REF8372.
"O loader usa várias camadas de ofuscação, como achatamento do fluxo de controle, predicados opacos e aritmética booleana mista, além de stubs de decriptação que se auto modificam e do abuso da seção .reloc do Windows para preparar shellcode", afirmaram os pesquisadores Daniel Stepanic e Jia Yu Chan em uma análise técnica.
O ataque começa quando usuários desavisados pesquisam termos como "lts version of node.js" em mecanismos de busca como o Google e são redirecionados para um site falso, "node-js[.]prentiva99[.]info", exibido por meio de anúncios fraudulentos publicados sob o nome verificado "ВОЛОДИМИР ТЕРЕЩЕНКО", supostamente baseado na Ucrânia.
Ainda não se sabe se a conta do anunciante está ligada ao threat actor real ou se se trata de uma conta de fachada ou de uma identidade comprada.
A conta de publicidade, junto com suas campanhas, foi removida do Google em 14/05/2026.
Os usuários que interagem com o site recebem um script em lote hospedado na Storj, uma plataforma descentralizada e open source de armazenamento em cloud.
O abuso da Storj mostra mais uma vez como threat actors continuam a explorar serviços legítimos para contornar filtros de reputação baseados em domínios.
Ao executar o script em lote, é exibida uma interface falsa de assistente de instalação, enquanto em segundo plano é baixado discretamente um payload da próxima etapa, um executável hospedado na Storj chamado OXLOADER, por meio de um comando do PowerShell.
Em seguida, ele é executado com -Verb RunAs para acionar o prompt do Controle de Conta de Usuário do Windows, o UAC.
A partir daí, o ataque usa DLL side-loading para carregar uma DLL maliciosa, que então decripta e executa o payload do CastleStealer.
O OXLOADER também emprega técnicas como achatamento do fluxo de controle, CFF, e aritmética booleana mista, MBA, para escapar da detecção estática, ao mesmo tempo em que tenta garantir que não seja executado em ambientes de sandbox.
O CastleStealer é um infostealer em .NET que recentemente foi distribuído junto com o CastleLoader por meio de uma isca no estilo ClickFix, disfarçada de ferramenta gratuita de edição de imagens, em uma campanha batizada de BackgroundFix.
O CastleLoader é atribuído a um cluster de atividade maliciosa conhecido como GrayBravo.
"O OXLOADER está em uma fase operacional inicial, mas a engenharia por trás dele sugere que esta família merece atenção", afirmou a Elastic.
"A ofuscação do código, as medidas anti-VM, o código aparentemente benigno usado para disfarçar os binários e as técnicas exclusivas de preparação refletem escolhas de engenharia deliberadas para evitar a análise."
"Esse investimento está compensando, resultando em baixas taxas de detecção em mecanismos estáticos e em execuções de detonação, o que dá ao OXLOADER uma janela para operar antes de ser identificado."
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...