Investigadores de ciberseguridad han revelado detalles de una nueva campaña que ofrece CastleStealer mediante un cargador de malware no reportado previamente denominado OXLOADER.

Según Elastic Security Labs, la campaña aprovecha los anuncios maliciosos de Google como punto de partida para distribuir el malware. La evidencia indica que el actor de la amenaza probablemente habla ruso y tiene motivaciones financieras, debido a la presencia de exclusiones explícitas para evitar infectar máquinas ubicadas en la región de la Comunidad de Estados Independientes (CEI). La campaña lleva el nombre en código REF8372.

«El cargador utiliza varias capas de ofuscación (aplanamiento de flujo de control, predicados opacos, aritmética booleana mixta), códigos auxiliares de descifrado que se modifican automáticamente y abusa de la sección .reloc de Windows para preparar el código shell», afirman los investigadores Daniel Stepanic y Jia Yu Chan. dicho en una avería técnica.

El ataque comienza cuando usuarios desprevenidos ingresan consultas como «versión lts de node.js» en motores de búsqueda como Google, redireccionándolos a un sitio web falso («node-js[.]prentiva99[.]info») surgió a través de anuncios falsos publicados bajo el nombre verificado «ВОЛОДИМИР ТЕРЕЩЕНКО» que supuestamente tiene su sede en Ucrania.

Actualmente se desconoce si la cuenta del anunciante está vinculada al actor de la amenaza real, o si es una cuenta frontal o una identidad comprada. La cuenta del anunciante, junto con sus campañas publicitarias, se eliminó de Google el 14 de mayo de 2026.

Los usuarios que terminan interactuando con el sitio reciben un script por lotes alojado en Storj, una plataforma descentralizada de almacenamiento en la nube de código abierto. El abuso de Storj ilustra una vez más cómo los actores de amenazas continúan aprovechando servicios legítimos para evadir los filtros de reputación basados ​​en dominios.

La ejecución del script por lotes muestra una interfaz de usuario (UI) del asistente de instalación falsa, mientras se descarga sigilosamente una carga útil de la siguiente etapa, una Ejecutable alojado en Storj denominado OXLOADER a través de un comando de PowerShell y ejecutándolo con -Verb RunAs para activar un mensaje de Control de cuentas de usuario (UAC) de Windows.

Luego, el ataque emplea la carga lateral de DLL para lanzar una DLL maliciosa, que luego procede a descifrar y ejecutar la carga útil de CastleStealer. OXLOADER también utiliza técnicas como el aplanamiento del flujo de control (CFF) y la aritmética booleana mixta (MBA) para evadir la detección estática, al mismo tiempo que toma medidas para garantizar que no se ejecute en entornos aislados.

CastleStealer es un ladrón de información .NET que se distribuyó recientemente junto con CastleLoader a través de un señuelo estilo ClickFix disfrazado de herramienta gratuita de edición de imágenes como parte de una campaña con nombre en código BackgroundFix. CastleLoader se atribuye a un grupo de actividad de amenazas conocido como GrayBravo.

«OXLOADER se encuentra en una fase operativa temprana, pero la ingeniería detrás de él sugiere que vale la pena observar esta familia», dijo Elastic. «La ofuscación del código, las medidas anti-VM, el código de apariencia benigna utilizado para enmascarar sus archivos binarios y las técnicas de puesta en escena únicas reflejan decisiones de ingeniería deliberadas para evadir el análisis».

«Esa inversión está dando sus frutos, lo que da como resultado bajas tasas de detección en motores estáticos y ciclos de detonación, lo que le da a OXLOADER una ventana para operar antes de ser perseguido».