Quando até mesmo o primeiro link na sua busca tenta roubar suas senhas, as chances de salvação quase desaparecem. A publicidade em mecanismos de busca está se tornando cada vez mais um portal não para o site do desenvolvedor, mas para uma cadeia de infecção. Uma nova campanha maliciosa, identificada como REF8372, utilizou anúncios falsos do Google Ads para entregar o infostealer CastleStealer por meio de um downloader anteriormente desconhecido chamado OXLOADER.
De acordo com especialistas da Elastic Security Labs, o ataque começava com consultas como "lts version of node.js". O usuário via um link de anúncio para um site falso, node-js[.]prentiva99[.]info, que era cuidadosamente projetado para se parecer com a página oficial do Node.js. Após o clique, o site apresentava um script em lote hospedado no Storj, um serviço legítimo de armazenamento em nuvem descentralizado. Essa tática é particularmente eficaz para contornar filtros de segurança que tendem a confiar em serviços conhecidos e reagem com menos rigor a arquivos maliciosos hospedados neles.
Uma vez executado, o script exibia um falso assistente de instalação. Paralelamente, o OXLOADER era baixado via PowerShell e tentava ser executado com privilégios elevados através de uma solicitação de Controle de Conta de Usuário (UAC) do Windows. O downloader então empregava técnicas de DLL hijacking (substituição de DLL) durante a inicialização, descriptografava a próxima etapa da carga maliciosa e passava o controle para o CastleStealer. O OXLOADER é projetado para dificultar a análise, empregando múltiplas camadas de ofuscação de código, trechos auto-descriptografáveis e verificações para detectar se está sendo executado em um ambiente de sandbox ou virtualizado. Essas técnicas reduzem significativamente as chances de detecção por scanners estáticos e sistemas de análise automatizados, especialmente nas fases iniciais de uma campanha.
O CastleStealer é um infostealer escrito em .NET. Anteriormente, este malware já havia sido distribuído em conjunto com o CastleLoader, utilizando uma isca no estilo ClickFix, onde aos usuários era oferecida uma ferramenta supostamente gratuita para edição de imagens. Especialistas associam o CastleLoader a um cluster de atividade conhecido como GrayBravo. O Google removeu a conta de anúncios e as campanhas relacionadas em 14 de maio de 2026. No entanto, a Elastic considera o OXLOADER uma família de malware em estágio inicial, que deve ser monitorada de perto devido às suas sofisticadas proteções contra análise.
