Campanha explora confiança em ferramentas de desenvolvimento
Uma nova campanha de malware está utilizando anúncios patrocinados falsos no Google Ads para distribuir um carregador malicioso que se disfarça como o instalador legítimo do Node.js. A operação, identificada pela Elastic Security Labs, tem como alvo usuários do Windows nos Estados Unidos, entregando um infostealer chamado CASTLESTEALER após um único clique em resultados de pesquisa patrocinados que parecem legítimos.
O ataque aproveita um comportamento comum entre milhões de pessoas que buscam software online e confiam nos primeiros resultados. Os atores maliciosos criaram uma página de aterrissagem maliciosa projetada para parecer com a plataforma oficial do Node.js. Quando a vítima clica no anúncio patrocinado, ela é redirecionada silenciosamente através de um domínio intermediário para baixar um script de lote malicioso do Windows hospedado em um serviço de armazenamento em nuvem legítimo, o que torna muito mais difícil para as ferramentas de segurança sinalizar o arquivo.
Detalhes técnicos da infecção
A cadeia de infecção começa quando um usuário pesquisa pelo instalador do Node.js e clica em um resultado patrocinado. Esse clique envia a vítima para uma página de aterrissagem falsa construída para imitar o ambiente real do Node.js. A partir daí, um redirecionamento através de um domínio intermediário entrega um script de lote hospedado no Storj, um serviço de armazenamento em nuvem legítimo que os atores maliciosos abusaram deliberadamente para contornar a filtragem baseada em reputação.
O script de lote vai um passo além, exibindo um assistente de instalação de software falso convincente, dando à vítima nenhuma razão para suspeitar de algo errado. Por trás dessa interface, ele baixa silenciosamente o executável da próxima fase usando o PowerShell e aciona um prompt de controle de conta de usuário do Windows para obter acesso elevado ao sistema. Toda a experiência é projetada para parecer uma instalação de software rotineira.
Uma segunda variante do OXLOADER também foi descoberta em 13 de maio de 2026, desta vez se passando por um binário do instalador do Node.js em vez do API Monitor, embora o mecanismo de carregamento subjacente fosse completamente idêntico. Os pesquisadores notaram que o arquivo mantinha a palavra "node" em seu nome de arquivo, provavelmente para manter o tema de isca no qual a campanha confiava ao longo do tempo.
Evasão e detecção
O OXLOADER é construído com evasão como um recurso central. Antes de executar qualquer coisa significativa, ele executa cinco verificações separadas para confirmar que não está sendo executado dentro de uma sandbox ou máquina virtual. Essas verificações incluem a verificação de pelo menos três núcleos de CPU, pelo menos 3 GB de memória RAM física, uma taxa de atualização de exibição acima de 20 Hz e a verificação de que o sistema não está localizado em uma região da Comunidade de Estados Independentes ou configurado para o idioma russo.
O carregador também usa técnicas de ofuscação sofisticadas que quebram as ferramentas padrão de análise binária, tornando a engenharia reversa lenta e difícil. Ele esconde o código malicioso dentro da seção .reloc do Windows, um espaço que os programas legítimos nunca usam para instruções executáveis, e se descompacta na memória usando rotinas de descriptografia de modificação de código próprio.
O payload final, o CASTLESTEALER, é então entregue inteiramente na memória usando um gerador de shellcode de código aberto chamado DonutLoader, deixando quase nenhum rastro no disco. O CASTLESTEALER é um malware baseado em .NET capaz de colher dados sensíveis de sistemas infectados.
Indicadores de comprometimento
Os pesquisadores identificaram vários indicadores de comprometimento (IoCs) que podem ser usados para detectar e bloquear esta campanha. Os domínios maliciosos incluem nodejs-preventive.info para a página de aterrissagem de malvertising e app.miloyannopoulos.com para o redirecionador de malvertising. Os hashes SHA-256 dos arquivos maliciosos foram documentados para facilitar a detecção em sistemas de endpoint.
Os endereços IP de comando e controle (C2) associados ao CASTLESTEALER são 52.78.2.74 e 52.78.77.48. As equipes de segurança devem tratar resultados de pesquisa patrocinada para ferramentas de desenvolvimento com escrutínio extra, garantir que a detecção comportamental de endpoint esteja ativa em vez de apenas definida no modo de monitoramento e sempre verificar os downloads de software diretamente contra os sites oficiais dos fornecedores.
Recomendações para CISOs
As organizações devem revisar imediatamente suas políticas de download de software, especialmente para ferramentas de desenvolvimento. É crucial implementar soluções de segurança que monitorem o comportamento de scripts de lote e PowerShell, pois o ataque depende fortemente dessas ferramentas para a execução do payload. Além disso, a conscientização dos desenvolvedores sobre a verificação de anúncios patrocinados é essencial para mitigar o risco de infecção inicial.