- 27,748
- 46
- 8 Ноя 2022
Когда даже первая ссылка в поиске пытается украсть ваши пароли — шансов на спасение почти не остаётся.
Поисковая реклама всё чаще становится входом не на сайт разработчика, а в цепочку заражения, и новая вредоносная кампания REF8372 использовала поддельные объявления Google Ads для доставки инфостилера CastleStealer через ранее неизвестный загрузчик OXLOADER.
По данным специалистов Elastic Security Labs, атака начиналась с запросов вроде «lts version of node.js». Пользователь видел рекламную ссылку на фальшивый сайт node-js[.]prentiva99[.]info, оформленный под страницу Node.js.
После перехода сайт выдавал пакетный скрипт, размещённый в Storj, легитимном децентрализованном облачном хранилище. Такой приём помогал обходить фильтры, которые доверяют известным сервисам и хуже реагируют на вредоносные файлы внутри них.
Запуск скрипта показывал поддельный мастер установки, а параллельно через PowerShell загружал OXLOADER и пытался выполнить его с повышенными правами через запрос контроля учётных записей Windows. Затем загрузчик применял подмену DLL при запуске, расшифровывал следующий этап и передавал управление CastleStealer.
OXLOADER усложняет анализ несколькими слоями запутывания кода, саморасшифровывающимися участками и проверками на запуск в песочнице или виртуальной среде. Такие техники снижают шансы обнаружить угрозу статическими сканерами и автоматическими системами анализа, особенно на раннем этапе кампании.
CastleStealer представляет собой инфостилер на .NET. Ранее вредонос уже распространялся вместе с CastleLoader через приманку в стиле ClickFix , где пользователям предлагали якобы бесплатный инструмент для редактирования изображений. Специалисты связывают CastleLoader с кластером активности GrayBravo.
Google удалил рекламный аккаунт и связанные кампании 14 мая 2026 года, но Elastic считает OXLOADER семейством на ранней стадии развития, за которым стоит следить из-за продуманной защиты от анализа.
Поисковая реклама всё чаще становится входом не на сайт разработчика, а в цепочку заражения, и новая вредоносная кампания REF8372 использовала поддельные объявления Google Ads для доставки инфостилера CastleStealer через ранее неизвестный загрузчик OXLOADER.
По данным специалистов Elastic Security Labs, атака начиналась с запросов вроде «lts version of node.js». Пользователь видел рекламную ссылку на фальшивый сайт node-js[.]prentiva99[.]info, оформленный под страницу Node.js.
После перехода сайт выдавал пакетный скрипт, размещённый в Storj, легитимном децентрализованном облачном хранилище. Такой приём помогал обходить фильтры, которые доверяют известным сервисам и хуже реагируют на вредоносные файлы внутри них.
Запуск скрипта показывал поддельный мастер установки, а параллельно через PowerShell загружал OXLOADER и пытался выполнить его с повышенными правами через запрос контроля учётных записей Windows. Затем загрузчик применял подмену DLL при запуске, расшифровывал следующий этап и передавал управление CastleStealer.
OXLOADER усложняет анализ несколькими слоями запутывания кода, саморасшифровывающимися участками и проверками на запуск в песочнице или виртуальной среде. Такие техники снижают шансы обнаружить угрозу статическими сканерами и автоматическими системами анализа, особенно на раннем этапе кампании.
CastleStealer представляет собой инфостилер на .NET. Ранее вредонос уже распространялся вместе с CastleLoader через приманку в стиле ClickFix , где пользователям предлагали якобы бесплатный инструмент для редактирования изображений. Специалисты связывают CastleLoader с кластером активности GrayBravo.
Google удалил рекламный аккаунт и связанные кампании 14 мая 2026 года, но Elastic считает OXLOADER семейством на ранней стадии развития, за которым стоит следить из-за продуманной защиты от анализа.
- Источник новости
- www.securitylab.ru
