Mastodon Mastodon Mastodon Mastodon

Malvertising-Kampagne REF8372: OXLOADER verteilt CastleStealer

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Fachleute von Elastic Security Labs haben eine technische Analyse des bislang unbekannten Malware-Loaders OXLOADER veröffentlicht, der zur Auslieferung des Infostealers CastleStealer über schädliche Werbung in Google verwendet wird. Die Kampagne mit dem Codenamen REF8372 richtet sich gegen Windows-Nutzende, die nach populärer Software suchen – insbesondere nach Node.js. Der Loader zeichnet sich durch fortgeschrittene Obfuskations- und Evasion-Techniken aus, was zu einer geringen Erkennungsrate durch Antiviren-Engines führt. Organisationen und private Anwender sollten ihre Systeme auf die veröffentlichten Indikatoren einer Kompromittierung prüfen und die Kontrolle von Downloads aus Suchmaschinenwerbung verschärfen.

Angriffskette: Von Suchmaschinenwerbung bis zum Datendiebstahl

Nach Erkenntnissen der Forschenden beginnt der Angriff mit bösartigen Werbeanzeigen in Google. Nutzende, die Suchanfragen wie „lts version of node.js“ eingeben, werden auf die gefälschte Website node-js[.]prentiva99[.]info umgeleitet, die eine legitime Seite imitiert. Die Werbekampagnen wurden über ein verifiziertes Werbekonto geschaltet, jedoch ist unklar, ob dieses Konto direkt den Angreifenden gehörte oder kompromittiert beziehungsweise gekauft wurde. Berichten zufolge hat Google das Werbekonto des Werbekunden und die zugehörigen Kampagnen am 14. Mai 2026 entfernt, auch wenn es dazu bislang keine offizielle Bestätigung von Google aus offenen Quellen gibt.

Bei der Interaktion mit der gefälschten Website erhält das Opfer ein Batch-Skript (batch script), das auf der Plattform Storj gehostet wird – einem dezentralen, Open-Source-basierten Cloud-Speicher. Die Nutzung eines legitimen Dienstes ermöglicht es, Domain-Reputationsfilter zu umgehen. Das Skript zeigt eine gefälschte Oberfläche eines Installationsassistenten an und lädt gleichzeitig im Hintergrund über PowerShell die ausführbare Datei OXLOADER ebenfalls von Storj herunter, um sie mit dem Parameter -Verb RunAs zu starten, was eine Anfrage zur Rechteausweitung über die Windows-UAC auslöst.

Anschließend verwendet OXLOADER die Technik des DLL-Austauschs (DLL side-loading), um eine bösartige Bibliothek zu laden, die die finale Nutzlast – den Infostealer CastleStealer – entschlüsselt und ausführt.

Technische Besonderheiten von OXLOADER

Der Loader weist einen hohen Grad an technischer Ausarbeitung auf. Nach Angaben der Forschenden setzt OXLOADER mehrere Ebenen der Obfuskation ein:

  • Control-Flow-Glättung (control-flow flattening, CFF) – erschwert die statische Analyse der Programmlogik
  • Intransparente Prädikate (opaque predicates) – Einfügen falscher bedingter Verzweigungen, um die Dekompilierung zu erschweren
  • Gemischte boolesch-arithmetische Obfuskation (mixed Boolean-Arithmetic, MBA) – Verschleierung von Berechnungen
  • Selbstmodifizierende Entschlüsselungs-Stubs – dynamische Änderung des Codes während der Ausführung
  • Missbrauch des .reloc-Abschnitts von Windows-PE-Dateien zur Unterbringung von Shellcode

Zusätzlich zur Obfuskation enthält OXLOADER Mechanismen zur Erkennung von Sandboxes und virtuellen Maschinen, was eine automatische Analyse in isolierten Umgebungen erschwert. Nach Einschätzung von Elastic Security Labs befindet sich der Loader noch in einer frühen Phase der Nutzung, zeigt jedoch bereits eine geringe Erkennungsrate sowohl durch statische Engines als auch in der dynamischen Analyse.

CastleStealer ist ein Infostealer, der in .NET geschrieben wurde. Zuvor wurde er zusammen mit dem Loader CastleLoader im Rahmen einer Kampagne mit der Bezeichnung BackgroundFix verteilt, bei der ClickFix-ähnliche Köder eingesetzt wurden, die als kostenloser Grafikeditor getarnt waren.

Indikatoren einer Kompromittierung

Auf Grundlage der veröffentlichten Daten stehen die folgenden IOC zur Verfügung:

  • Domain:node-js[.]prentiva99[.]info
  • SHA-256-Hash der ausführbaren OXLOADER-Datei:9a9939dff297997732aaade9b243d695632cbd64033c5fbcb9de3d09b7e6c28d (Eintrag auf VirusTotal)

Bedrohungskontext und Attribution

Nach Angaben von Elastic Security Labs enthält die Malware explizite Ausnahmen, die eine Infektion von Systemen im Raum der Gemeinschaft Unabhängiger Staaten (GUS) verhindern. Dies weist indirekt auf eine finanzielle Motivation der Betreiber und ihre mögliche Herkunft aus dem russischsprachigen Raum hin; diese Attribution bleibt jedoch vorläufig und ist nicht durch unabhängige Quellen bestätigt. Die Identität des Werbekunden, über dessen Konto die schädlichen Anzeigen geschaltet wurden, ist ebenfalls unbekannt – das Konto könnte ein Front-Account oder angekauft gewesen sein.

Die Kampagne REF8372 fügt sich in den anhaltenden Trend ein, Werbeplattformen zur Verbreitung von Malware zu missbrauchen (malvertising). Der Einsatz von Storj als Hosting für die Nutzlast ist ein weiteres Beispiel für die Ausnutzung legitimer Cloud-Dienste, um Schutzmechanismen auf Basis der Domain-Reputation zu umgehen.

Bewertung der Auswirkungen

Am stärksten gefährdet sind Entwickler und Systemadministratoren, die regelmäßig Entwicklungswerkzeuge über Suchmaschinen herunterladen. Der Infostealer CastleStealer ist in der Lage, Zugangsdaten, Session-Tokens und andere vertrauliche Informationen zu stehlen, was sowohl für einzelne Nutzende als auch für Unternehmensumgebungen Risiken schafft – insbesondere, wenn Arbeitsstationen kompromittiert werden, die Zugriff auf interne Ressourcen haben.

Empfehlungen zum Schutz

  • Netzwerkprotokolle auf Verbindungen zur Domain node-js[.]prentiva99[.]info und zu Storj-Hosts mit untypischen Download-Mustern prüfen
  • Den veröffentlichten Hash in die Erkennungsregeln von EDR-Lösungen und in das SIEM aufnehmen
  • Die Ausführung von PowerShell mit dem Parameter -Verb RunAs überwachen – dies ist für legitime Software eine untypische Methode zur Rechteerhöhung
  • Ereignisse von DLL side-loading überwachen: das Laden ungewöhnlicher DLLs aus temporären Verzeichnissen durch legitime ausführbare Dateien
  • Downloads von Software über Werbelinks in Suchmaschinen einschränken – ausschließlich die offiziellen Projektseiten verwenden (für Node.js: nodejs.org)
  • Eine Blockierung von Werbeergebnissen in Unternehmensbrowsern per Gruppenrichtlinien oder Browser-Erweiterungen in Betracht ziehen

Die Kampagne REF8372 zeigt, dass der Loader OXLOADER trotz seiner frühen Entwicklungsphase statische und dynamische Erkennungsmethoden bereits wirksam umgeht. Für Sicherheitsteams ist es entscheidend, die veröffentlichten IOC in ihre Monitoring-Systeme zu integrieren und die Kontrolle über die Software-Download-Kette zu verschärfen – insbesondere in Szenarien, in denen PowerShell nach dem Start von Batch-Skripten aus externen Quellen eine Rechteerhöhung initiiert. Die vollständige technische Analyse ist im Bericht von Elastic Security Labs verfügbar.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen