Uma nova campanha maliciosa está usando anúncios falsos no Google para distribuir um malware chamado OXLOADER, criado para instalar o ladrão de informações CastleStealer em computadores Windows. Segundo os pesquisadores, os indícios apontam para um grupo provavelmente falante de russo e com motivação financeira, já que o malware evita infectar máquinas localizadas em países da Comunidade dos Estados Independentes.
O ataque começa quando usuários pesquisam por termos relacionados ao Node.js, como versões de longo suporte da plataforma. Entre os resultados patrocinados, aparece um site falso que imita uma página legítima de download.
Ao acessar o site, a vítima recebe um arquivo malicioso hospedado em um serviço de armazenamento legítimo. Essa escolha ajuda os criminosos a escapar de alguns filtros de reputação, já que o arquivo vem de uma infraestrutura normalmente usada para fins lícitos.
Quando executado, o arquivo exibe uma falsa tela de instalação para reduzir suspeitas. Nos bastidores, ele baixa o OXLOADER, que prepara o sistema para a instalação do CastleStealer.
O CastleStealer é um malware voltado ao roubo de informações. Esse tipo de ameaça costuma buscar dados salvos em navegadores, credenciais, cookies, carteiras digitais e outros registros que possam ser vendidos ou usados em fraudes.
Os pesquisadores destacam que o OXLOADER ainda parece estar em fase inicial de operação, mas já utiliza técnicas para dificultar análise e detecção por ferramentas de segurança. Isso dá aos invasores uma janela maior para infectar vítimas antes que o ataque seja amplamente bloqueado.
