Фахівці Elastic Security Labs опублікували технічний розбір раніше невідомого завантажувача шкідливого ПЗ OXLOADER, який використовується для доставки інфостілера CastleStealer через шкідливу рекламу в Google. Кампанія, що отримала кодове позначення REF8372, націлена на користувачів Windows, які шукають популярне програмне забезпечення — зокрема, Node.js. Завантажувач відзначається розвиненими техніками обфускації та ухилення від виявлення, що забезпечує йому низький рівень детектування антивірусними рушіями. Організаціям та індивідуальним користувачам варто перевірити свої системи на наявність оприлюднених індикаторів компрометації та посилити контроль за завантаженнями з пошукової реклами.
Ланцюжок атаки: від пошукової реклами до викрадення даних
За даними дослідників, атака починається зі шкідливих рекламних оголошень у Google. Користувачів, які вводять пошукові запити на кшталт «lts version of node.js», перенаправляють на підроблений сайт node-js[.]prentiva99[.]info, що імітує легітимний ресурс. Рекламні кампанії були розміщені через верифікований обліковий запис рекламодавця, однак досі невідомо, чи належав цей обліковий запис безпосередньо зловмисникам, чи був скомпрометованим або придбаним. Як повідомляється, Google видалив обліковий запис рекламодавця та пов’язані кампанії 14 травня 2026 року, хоча офіційного підтвердження від Google у відкритих джерелах немає.
Під час взаємодії з підробленим сайтом жертві передається пакетний скрипт (batch script), розміщений на платформі Storj — децентралізованому хмарному сховищі з відкритим вихідним кодом. Використання легітимного сервісу дає змогу обходити фільтри репутації доменів. Скрипт відображає підроблений інтерфейс майстра встановлення, одночасно приховано завантажуючи через PowerShell виконуваний файл OXLOADER з того ж Storj і запускаючи його з параметром -Verb RunAs, що викликає запит підвищення привілеїв через Windows UAC.
Далі OXLOADER застосовує техніку підміни DLL (DLL side-loading) для запуску шкідливої бібліотеки, яка розшифровує та виконує фінальне корисне навантаження — інфостілер CastleStealer.
Технічні особливості OXLOADER
Завантажувач демонструє серйозний рівень інженерного опрацювання. За даними дослідників, OXLOADER використовує кілька шарів обфускації:
- Вирівнювання потоку керування (control-flow flattening, CFF) — ускладнює статичний аналіз логіки програми
- Непрозорі предикати (opaque predicates) — вставлення хибних умовних переходів для ускладнення декомпіляції
- Змішана булево-арифметична обфускація (mixed Boolean-Arithmetic, MBA) — маскування обчислень
- Самомодифіковані заглушки розшифрування — динамічна зміна коду в процесі виконання
- Зловживання секцією .reloc Windows PE-файлів для розміщення shell-коду
Окрім обфускації, OXLOADER містить механізми виявлення пісочниць та віртуальних машин, що заважає автоматичному аналізу в ізольованих середовищах. Elastic Security Labs оцінюють, що завантажувач перебуває на ранній стадії експлуатації, але вже демонструє низький рівень виявлення як статичними рушіями, так і під час динамічного аналізу.
CastleStealer — це інфостілер, написаний на .NET. Раніше його поширювали разом із завантажувачем CastleLoader у межах кампанії, позначеної як BackgroundFix, де використовували приманки у стилі ClickFix, замасковані під безплатний графічний редактор.
Індикатори компрометації
На підставі оприлюднених даних доступні такі IOC:
- Домен:
node-js[.]prentiva99[.]info - SHA-256 хеш виконуваного файлу OXLOADER:
9a9939dff297997732aaade9b243d695632cbd64033c5fbcb9de3d09b7e6c28d(запис на VirusTotal)
Контекст загрози та атрибуція
За даними Elastic Security Labs, шкідливе ПЗ містить явні винятки, які запобігають зараженню машин у регіоні Співдружності Незалежних Держав (СНД). Це опосередковано вказує на фінансову мотивацію операторів та їхнє можливе походження з російськомовного середовища, однак така атрибуція залишається попередньою й не підтверджена незалежними джерелами. Особу рекламодавця, через обліковий запис якого розміщувалися шкідливі оголошення, також не встановлено — обліковий запис міг бути «фронтовим» або придбаним.
Кампанія REF8372 вписується в сталий тренд зловживання рекламними платформами для поширення шкідливого ПЗ (malvertising). Використання Storj як хостингу корисного навантаження — ще один приклад експлуатації легітимних хмарних сервісів для обходу засобів захисту, що базуються на репутації доменів.
Оцінка впливу
Найбільшому ризику піддаються розробники та системні адміністратори, які регулярно завантажують інструменти розробки через пошукові системи. Інфостілер CastleStealer здатен викрадати облікові дані, токени сесій та іншу чутливу інформацію, що створює ризики як для індивідуальних користувачів, так і для корпоративних середовищ — особливо в разі компрометації робочих станцій з доступом до внутрішніх ресурсів.
Рекомендації із захисту
- Перевірити мережеві логи на звернення до домену
node-js[.]prentiva99[.]infoі хостів Storj з нетиповими патернами завантажень - Додати оприлюднений хеш до правил виявлення EDR-рішень і SIEM
- Контролювати запуск PowerShell з параметром
-Verb RunAs— це нетиповий спосіб підвищення привілеїв для легітимного ПЗ - Моніторити події DLL side-loading: завантаження нестандартних DLL із тимчасових каталогів легітимними виконуваними файлами
- Обмежити завантаження ПЗ з рекламних посилань у пошукових системах — використовувати лише офіційні сайти проєктів (для Node.js —
nodejs.org) - Розглянути блокування рекламних результатів у корпоративних браузерах через групові політики або розширення
Кампанія REF8372 демонструє, що завантажувач OXLOADER, попри ранню стадію розвитку, уже ефективно обходить статичні й динамічні засоби виявлення. Ключова дія для команд безпеки — внести оприлюднені IOC у системи моніторингу та посилити контроль за ланцюжком завантаження ПЗ, особливо за сценаріями, коли PowerShell ініціює підвищення привілеїв після запуску пакетних скриптів із зовнішніх джерел. Повний технічний розбір доступний у звіті Elastic Security Labs.
