Mastodon Mastodon Mastodon Mastodon

Análisis de Elastic Security Labs sobre el nuevo cargador OXLOADER

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Los especialistas de Elastic Security Labs han publicado un análisis técnico de un cargador de malware hasta ahora desconocido, OXLOADER, que se utiliza para entregar el infostealer CastleStealer mediante publicidad maliciosa en Google. La campaña, designada con el código REF8372, tiene como objetivo a usuarios de Windows que buscan software popular, en particular, Node.js. El cargador se caracteriza por técnicas avanzadas de ofuscación y evasión de detección, lo que se traduce en un bajo nivel de identificación por los motores antivirus. Se recomienda a las organizaciones y a los usuarios particulares que revisen sus sistemas en busca de los indicadores de compromiso publicados y refuercen el control sobre las descargas procedentes de anuncios en buscadores.

Cadena de ataque: de la publicidad en buscadores al robo de datos

Según los investigadores, el ataque comienza con anuncios maliciosos en Google. Los usuarios que introducen consultas como «lts version of node.js» son redirigidos al sitio falso node-js[.]prentiva99[.]info, que imita a un recurso legítimo. Las campañas publicitarias se publicaron mediante una cuenta de anunciante verificada, aunque se desconoce si dicha cuenta pertenecía directamente a los atacantes o si fue comprometida o adquirida. Según los informes, Google eliminó la cuenta del anunciante y las campañas asociadas el 14 de mayo de 2026, aunque no hay confirmación oficial por parte de Google en fuentes abiertas.

Al interactuar con el sitio falso, a la víctima se le entrega un script por lotes (batch script) alojado en la plataforma Storj, un almacenamiento en la nube descentralizado y de código abierto. El uso de un servicio legítimo permite eludir los filtros basados en la reputación de dominios. El script muestra una interfaz falsa de asistente de instalación mientras descarga de forma oculta, mediante PowerShell, el ejecutable de OXLOADER desde el mismo Storj y lo ejecuta con el parámetro -Verb RunAs, lo que provoca una solicitud de elevación de privilegios a través de Windows UAC.

A continuación, OXLOADER emplea la técnica de sustitución de DLL (DLL side-loading) para cargar una biblioteca maliciosa que descifra y ejecuta la carga útil final: el infostealer CastleStealer.

Características técnicas de OXLOADER

El cargador muestra un elevado nivel de sofisticación de ingeniería. Según los investigadores, OXLOADER utiliza varias capas de ofuscación:

  • Aplanamiento del flujo de control (control-flow flattening, CFF) — dificulta el análisis estático de la lógica del programa
  • Predicados opacos (opaque predicates) — inserción de saltos condicionales falsos para complicar la descompilación
  • Ofuscación mixta booleano-aritmética (mixed Boolean-Arithmetic, MBA) — enmascaramiento de cálculos
  • Stubs de descifrado auto-modificables — modificación dinámica del código durante la ejecución
  • Uso indebido de la sección .reloc de archivos PE de Windows para alojar shellcode

Además de la ofuscación, OXLOADER incorpora mecanismos de detección de sandboxes y máquinas virtuales, lo que dificulta el análisis automatizado en entornos aislados. Elastic Security Labs considera que el cargador se encuentra en una fase temprana de explotación, pero ya muestra un bajo nivel de detección tanto por motores estáticos como en el análisis dinámico.

CastleStealer es un infostealer escrito en .NET. Anteriormente se distribuía junto con el cargador CastleLoader en el marco de una campaña denominada BackgroundFix, en la que se utilizaban cebos al estilo de ClickFix, disfrazados de editor gráfico gratuito.

Indicadores de compromiso

A partir de los datos publicados, se dispone de los siguientes IOC:

  • Dominio:node-js[.]prentiva99[.]info
  • Hash SHA-256 del ejecutable de OXLOADER:9a9939dff297997732aaade9b243d695632cbd64033c5fbcb9de3d09b7e6c28d (entrada en VirusTotal)

Contexto de la amenaza y atribución

Según Elastic Security Labs, el malware contiene exclusiones explícitas que impiden infectar máquinas en la región de la Comunidad de Estados Independientes (CEI). Esto apunta indirectamente a una motivación financiera de los operadores y a su posible origen en el espacio rusófono, aunque dicha atribución sigue siendo preliminar y no está respaldada por fuentes independientes. Tampoco se ha establecido la identidad del anunciante cuya cuenta se utilizó para publicar los anuncios maliciosos: la cuenta podría ser de fachada o haber sido adquirida.

La campaña REF8372 se inscribe en una tendencia consolidada de abuso de las plataformas publicitarias para la distribución de malware (malvertising). El uso de Storj como alojamiento de la carga útil es otro ejemplo de explotación de servicios cloud legítimos para eludir las defensas basadas en la reputación de dominios.

Evaluación del impacto

Los desarrolladores y administradores de sistemas que descargan con regularidad herramientas de desarrollo a través de buscadores son los que corren mayor riesgo. El infostealer CastleStealer es capaz de robar credenciales, tokens de sesión y otra información sensible, lo que genera riesgos tanto para usuarios individuales como para entornos corporativos, especialmente si se comprometen estaciones de trabajo con acceso a recursos internos.

Recomendaciones de seguridad

  • Revisar los registros de red en busca de accesos al dominio node-js[.]prentiva99[.]info y a hosts de Storj con patrones de descarga inusuales
  • Añadir el hash publicado a las reglas de detección de soluciones EDR y sistemas SIEM
  • Controlar la ejecución de PowerShell con el parámetro -Verb RunAs — se trata de un método atípico de elevación de privilegios para software legítimo
  • Monitorizar eventos de DLL side-loading: carga de DLL no estándar desde directorios temporales por ejecutables legítimos
  • Restringir la descarga de software desde enlaces publicitarios en buscadores — utilizar solo los sitios oficiales de los proyectos (para Node.js — nodejs.org)
  • Valorar el bloqueo de resultados publicitarios en navegadores corporativos mediante directivas de grupo o extensiones

La campaña REF8372 demuestra que el cargador OXLOADER, a pesar de encontrarse en una fase temprana de desarrollo, ya elude de forma eficaz los mecanismos de detección estáticos y dinámicos. La acción clave para los equipos de seguridad es incorporar los IOC publicados en sus sistemas de monitorización y reforzar el control sobre la cadena de descarga de software, en especial en los escenarios en los que PowerShell inicia una elevación de privilegios tras la ejecución de scripts por lotes procedentes de fuentes externas. El análisis técnico completo está disponible en el informe de Elastic Security Labs.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio