- Cibercriminosos lançam campanha usando anúncios falsos no Google para distribuir o malware OXLOADER, que instala o CastleStealer em computadores com Windows.
- O grupo, possivelmente falante de russo e com motivação financeira, evita infectar máquinas em países da Comunidade dos Estados Independentes.
- O ataque começa a partir de buscas por termos relacionados ao Node.js; resultados patrocinados levam a um site falso que imita uma página de download legítima.
- O site entrega um arquivo malicioso hospedado em um serviço de armazenamento legítimo, para escapar de filtros de reputação.
- Ao ser executado, o arquivo apresenta uma tela de instalação falsa, o OXLOADER prepara o sistema para o CastleStealer, que rouba informações como credenciais, cookies e dados de navegadores; o OXLOADER já usa técnicas para dificultar detecção.
Uma nova campanha maliciosa usa anúncios falsos no Google para distribuir o malware OXLOADER, criado para instalar o CastleStealer em computadores Windows. Pesquisadores apontam que o grupo por trás do ataque é provavelmente de língua russa e atua com motivação financeira.
O ataque se inicia quando usuários pesquisam termos relacionados ao Node.js, como versões de longo suporte. Entre os resultados patrocinados, surge um site que imita uma página legítima de download.
Ao abrir o site, a vítima baixa um arquivo hospedado em um serviço de armazenamento legítimo. Essa escolha facilita a evasão de filtros de reputação, já que o arquivo vem de uma infraestrutura com uso comum.
Executado, o arquivo exibe uma tela de instalação falsa para disfarçar a operação. Nos bastidores, ele baixa o OXLOADER, que prepara o sistema para a instalação do CastleStealer.
O CastleStealer é um malware de roubo de informações, mirando dados salvos em navegadores, credenciais, cookies, carteiras digitais e outros registros sensíveis. Esses dados costumam ter alto valor para fraudes.
Os pesquisadores ressaltam que o OXLOADER ainda está em estágio inicial de operação, mas já utiliza técnicas para dificultar a análise e a detecção por ferramentas de segurança, ampliando a janela de infecção antes de bloqueio generalizado.
Entre na conversa da comunidade