Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza un cargador de malware no reportado anteriormente llamado OXLOADER para entregar CastleStealer.
Según Elastic Security Labs, esta campaña utiliza anuncios maliciosos de Google como plataforma de lanzamiento para la distribución de malware. La evidencia indica que el actor de la amenaza probablemente habla ruso y tiene motivaciones financieras, ya que existe una exclusión explícita para prevenir la infección de máquinas ubicadas en la región de la Comunidad de Estados Independientes (CEI). El nombre clave de esta campaña es REF8372.
«El cargador utiliza varias capas de ofuscación (control de aplanamiento del flujo, predicados opacos, una combinación de operaciones booleanas), códigos auxiliares de descifrado que se modifican automáticamente y explota la sección .reloc de Windows para preparar el código shell», dijeron los investigadores Daniel Stepanic y Jia Yu Zhang en un desglose técnico.
El ataque comienza cuando un usuario desprevenido ingresa una consulta como «versión lts de Node.js» en un motor de búsqueda como Google, y se muestra un sitio web falso a través de un anuncio falso publicado con el nombre verificado «ВОЛОДИМИР ТЕРЕЩЕНКО» («node-js(.)prentiva99(.)info»). Se dice que tiene su sede en Ucrania.
Actualmente no está claro si la cuenta del anunciante está vinculada a un actor de amenaza real, o si es una cuenta fachada o una identidad comprada. La cuenta del anunciante, junto con su campaña publicitaria, se eliminó de Google el 14 de mayo de 2026.
Los usuarios que finalmente interactuarán con el sitio reciben scripts por lotes alojados en Storj, una plataforma descentralizada de almacenamiento en la nube de código abierto. El exploit Storj ilustra una vez más cómo los actores de amenazas continúan aprovechando servicios legítimos para evadir los filtros de reputación basados en dominios.
Cuando ejecuta el script por lotes, se muestra una interfaz de usuario (UI) del asistente de instalación falsa. Al mismo tiempo, descarga en secreto la carga útil de la siguiente etapa, un ejecutable llamado OXLOADER alojado en Storj, a través de un comando de PowerShell y lo ejecuta con -Verb RunAs para activar un mensaje de Control de cuentas de usuario (UAC) de Windows.
Luego, el ataque utiliza la descarga de DLL para iniciar una DLL maliciosa, que luego comienza a descifrar y ejecutar la carga útil de CastleStealer. OXLOADER utiliza técnicas como el aplanamiento del flujo de control (CFF) y operaciones booleanas mixtas (MBA) para evitar la detección estática, al mismo tiempo que toma medidas para evitar la ejecución en un entorno sandbox.
CastleStealer es un ladrón de información .NET que se distribuyó recientemente junto con CastleLoader a través de un señuelo estilo ClickFix disfrazado de una herramienta de edición de imágenes gratuita como parte de una campaña con nombre en código BackgroundFix. CastleLoader se puede atribuir al grupo de actividad de amenazas conocido como GrayBravo.
«OXLOADER se encuentra en sus primeras etapas de operación, pero la ingeniería detrás de él sugiere que esta familia merece atención», dijo Elastic. «La ofuscación del código, la protección de las máquinas virtuales, el código de apariencia inofensiva utilizado para disfrazar el binario y las técnicas de preparación patentadas reflejan decisiones de ingeniería deliberadas para evadir el análisis».
«Esa inversión ha dado sus frutos, con tasas de detección más bajas en los ciclos de detonación y motor estacionario, lo que le da al Oxroader más espacio para operar antes de ser acorralado».
Source link
