Специалисты Elastic Security Labs опубликовали технический разбор ранее неизвестного загрузчика вредоносного ПО OXLOADER, который используется для доставки инфостилера CastleStealer через вредоносную рекламу в Google. Кампания, получившая кодовое обозначение REF8372, нацелена на пользователей Windows, ищущих популярное ПО — в частности, Node.js. Загрузчик отличается продвинутыми техниками обфускации и уклонения от обнаружения, что обеспечивает ему низкий уровень детектирования антивирусными движками. Организациям и индивидуальным пользователям следует проверить свои системы на наличие опубликованных индикаторов компрометации и усилить контроль за загрузками из поисковой рекламы.
Цепочка атаки: от поисковой рекламы до кражи данных
По данным исследователей, атака начинается с вредоносных рекламных объявлений в Google. Пользователи, вводящие поисковые запросы вроде «lts version of node.js», перенаправляются на поддельный сайт node-js[.]prentiva99[.]info, имитирующий легитимный ресурс. Рекламные кампании были размещены через верифицированный аккаунт рекламодателя, однако остаётся неизвестным, принадлежал ли этот аккаунт непосредственно злоумышленникам или был скомпрометирован либо приобретён. Как сообщается, Google удалил аккаунт рекламодателя и связанные кампании 14 мая 2026 года, хотя официального подтверждения от Google в открытых источниках нет.
При взаимодействии с поддельным сайтом жертве передаётся пакетный скрипт (batch script), размещённый на платформе Storj — децентрализованном облачном хранилище с открытым исходным кодом. Использование легитимного сервиса позволяет обходить фильтры репутации доменов. Скрипт отображает поддельный интерфейс мастера установки, одновременно скрытно загружая через PowerShell исполняемый файл OXLOADER с того же Storj и запуская его с параметром -Verb RunAs, что вызывает запрос повышения привилегий через Windows UAC.
Далее OXLOADER применяет технику подмены DLL (DLL side-loading) для запуска вредоносной библиотеки, которая расшифровывает и выполняет финальную полезную нагрузку — инфостилер CastleStealer.
Технические особенности OXLOADER
Загрузчик демонстрирует серьёзный уровень инженерной проработки. По данным исследователей, OXLOADER использует несколько слоёв обфускации:
- Выравнивание потока управления (control-flow flattening, CFF) — затрудняет статический анализ логики программы
- Непрозрачные предикаты (opaque predicates) — вставка ложных условных переходов для усложнения декомпиляции
- Смешанная булево-арифметическая обфускация (mixed Boolean-Arithmetic, MBA) — маскировка вычислений
- Самомодифицирующиеся заглушки расшифровки — динамическое изменение кода в процессе выполнения
- Злоупотребление секцией .reloc Windows PE-файлов для размещения шелл-кода
Помимо обфускации, OXLOADER включает механизмы обнаружения песочниц и виртуальных машин, что препятствует автоматическому анализу в изолированных средах. Elastic Security Labs оценивает, что загрузчик находится на ранней стадии эксплуатации, но уже демонстрирует низкий уровень обнаружения как статическими движками, так и при динамическом анализе.
CastleStealer — это инфостилер, написанный на .NET. Ранее он распространялся вместе с загрузчиком CastleLoader в рамках кампании, обозначенной как BackgroundFix, где использовались приманки в стиле ClickFix, замаскированные под бесплатный графический редактор.
Индикаторы компрометации
На основании опубликованных данных доступны следующие IOC:
- Домен:
node-js[.]prentiva99[.]info - SHA-256 хеш исполняемого файла OXLOADER:
9a9939dff297997732aaade9b243d695632cbd64033c5fbcb9de3d09b7e6c28d(запись на VirusTotal)
Контекст угрозы и атрибуция
По данным Elastic Security Labs, вредоносное ПО содержит явные исключения, предотвращающие заражение машин в регионе Содружества Независимых Государств (СНГ). Это косвенно указывает на финансовую мотивацию операторов и их возможное происхождение из русскоязычного пространства, однако данная атрибуция остаётся предварительной и не подтверждена независимыми источниками. Личность рекламодателя, через чей аккаунт размещались вредоносные объявления, также не установлена — аккаунт мог быть фронтовым или приобретённым.
Кампания REF8372 вписывается в устойчивый тренд злоупотребления рекламными платформами для распространения вредоносного ПО (malvertising). Использование Storj как хостинга полезной нагрузки — ещё один пример эксплуатации легитимных облачных сервисов для обхода средств защиты на основе репутации доменов.
Оценка воздействия
Наибольшему риску подвержены разработчики и системные администраторы, регулярно загружающие инструменты разработки через поисковые системы. Инфостилер CastleStealer способен похищать учётные данные, токены сессий и другую чувствительную информацию, что создаёт риски как для индивидуальных пользователей, так и для корпоративных сред — особенно при компрометации рабочих станций с доступом к внутренним ресурсам.
Рекомендации по защите
- Проверить сетевые логи на обращения к домену
node-js[.]prentiva99[.]infoи хостам Storj с нехарактерными паттернами загрузок - Добавить опубликованный хеш в правила обнаружения EDR-решений и SIEM
- Контролировать запуск PowerShell с параметром
-Verb RunAs— это нетипичный способ повышения привилегий для легитимного ПО - Мониторить события DLL side-loading: загрузку нестандартных DLL из временных каталогов легитимными исполняемыми файлами
- Ограничить загрузку ПО из рекламных ссылок в поисковых системах — использовать только официальные сайты проектов (для Node.js —
nodejs.org) - Рассмотреть блокировку рекламных результатов в корпоративных браузерах через групповые политики или расширения
Кампания REF8372 демонстрирует, что загрузчик OXLOADER, несмотря на раннюю стадию развития, уже эффективно обходит статические и динамические средства обнаружения. Ключевое действие для команд безопасности — внести опубликованные IOC в системы мониторинга и усилить контроль за цепочкой загрузки ПО, в особенности за сценариями, где PowerShell инициирует повышение привилегий после запуска пакетных скриптов из внешних источников. Полный технический разбор доступен в отчёте Elastic Security Labs.
