Malware OXLOADER
Pesquisadores de segurança cibernética descobriram uma nova campanha de malware, designada REF8372, que utiliza um carregador de malware até então desconhecido, chamado OXLOADER, para implantar o malware de roubo de informações CastleStealer.
A operação começa com anúncios maliciosos do Google, concebidos para atrair vítimas que procuram software popular. Análises sugerem que os agentes maliciosos por trás da campanha provavelmente falam russo e têm motivações financeiras. Essa avaliação baseia-se na exclusão deliberada, pelo malware, de sistemas localizados na Comunidade dos Estados Independentes (CEI), uma tática frequentemente utilizada por grupos cibercriminosos que operam na região.
Embora os anúncios da campanha tenham sido publicados sob o nome verificado 'ВОЛОДИМИР ТЕРЕЩЕНКО', supostamente com sede na Ucrânia, não está claro se essa identidade pertence aos próprios operadores ou se representa uma conta comprometida, comprada ou falsa. O Google removeu a conta do anunciante e as campanhas associadas em 14 de maio de 2026.
Índice
Manipulação de mecanismos de busca leva vítimas a sites de software falsos.
A cadeia de infecção é desencadeada quando os usuários pesquisam termos como "versão LTS do Node.js" em mecanismos de busca como o Google. As vítimas são redirecionadas por meio de resultados patrocinados para um site falso, node-js.prentiva99.info, que se passa por um recurso de software legítimo.
Os usuários que interagem com o site fraudulento são induzidos a baixar um script em lote hospedado no Storj, uma plataforma de armazenamento em nuvem descentralizada e de código aberto. O abuso de serviços legítimos como o Storj evidencia uma tendência crescente entre os agentes maliciosos, que dependem cada vez mais de plataformas confiáveis para burlar a reputação do domínio e os mecanismos de filtragem de segurança.
Cadeia de infecção em múltiplos estágios oculta atividade maliciosa
A execução do arquivo em lote baixado exibe um assistente de instalação falso, criando a ilusão de uma instalação legítima de software enquanto baixa secretamente o payload da próxima etapa, OXLOADER, do Storj. O malware é obtido por meio de um comando do PowerShell e executado com o parâmetro -Verb RunAs, gerando uma solicitação de Controle de Conta de Usuário (UAC) do Windows.
O ataque utiliza posteriormente técnicas de carregamento lateral de DLLs para executar uma biblioteca de vínculo dinâmico maliciosa, que descriptografa e inicia a carga útil final, CastleStealer.
Técnicas avançadas de evasão aumentam os desafios de detecção.
O OXLOADER incorpora diversas técnicas sofisticadas projetadas especificamente para dificultar a análise e evitar a detecção:
- Múltiplas camadas de ofuscação, incluindo achatamento do fluxo de controle, predicados opacos e técnicas mistas de aritmética booleana.
- Rotinas de descriptografia automodificáveis, abuso da seção .reloc do Windows para preparação de shellcode e mecanismos anti-sandbox que impedem a execução em ambientes de análise virtualizados.
Essas capacidades demonstram uma abordagem deliberada e bem projetada para evitar mecanismos de detecção tanto estáticos quanto dinâmicos.
Presença crescente da CastleStealer em operações de cibercrime
CastleStealer é uma família de malware baseada em .NET que rouba informações e que recentemente apareceu em novas campanhas. Anteriormente, era distribuída juntamente com CastleLoader por meio de uma isca de engenharia social no estilo ClickFix, que se passava por um aplicativo gratuito de edição de imagens, em uma operação conhecida como BackgroundFix. CastleLoader foi associado ao cluster de atividades de ameaças rastreado como GrayBravo.
Ameaça em estágio inicial com potencial significativo
Embora o OXLOADER pareça estar nos estágios iniciais de implantação operacional, sua sofisticação técnica justifica a atenção minuciosa dos defensores. Diversas características indicam um investimento substancial por parte de seus desenvolvedores:
- Ampla ofuscação de código e proteções contra máquinas virtuais.
- Utilização de código aparentemente inofensivo para disfarçar binários maliciosos e técnicas exclusivas de preparação de payloads.
Essas escolhas de design já se provaram eficazes, permitindo que o OXLOADER alcance baixas taxas de detecção em mecanismos de varredura estática e ambientes de detonação automatizada. Como resultado, o malware atualmente se beneficia de uma valiosa janela operacional antes que assinaturas de detecção e contramedidas generalizadas sejam desenvolvidas.