Исследователи Elastic Security Labs раскрыли новую вредоносную кампанию REF8372, в которой ранее не описанный загрузчик OXLOADER используется для доставки CastleStealer. По данным The Hacker News, атака начинается с вредоносной рекламы Google: пользователь ищет lts version of node.js или похожий запрос, видит объявление и попадает на поддельный сайт, имитирующий страницу Node.js.

Кампания интересна не только очередным злоупотреблением рекламой, но и цепочкой легитимных сервисов, которые помогают обходить простые фильтры репутации. На фальшивой странице жертве выдаётся batch-скрипт, размещённый в Storj — децентрализованной облачной платформе хранения. Запуск скрипта показывает фиктивный интерфейс установщика, но параллельно через PowerShell скачивает и запускает следующий payload. Для повышения привилегий используется запуск с -Verb RunAs, вызывающий стандартный UAC-запрос Windows.

Дальше цепочка переходит к OXLOADER. Загрузчик применяет DLL side-loading: запускается легитимный или выглядящий легитимно компонент, рядом с которым подсовывается вредоносная DLL. Затем payload расшифровывается и выполняется уже как CastleStealer — .NET-инфостилер, предназначенный для кражи данных с заражённой системы. Elastic описывает несколько уровней обфускации: control-flow flattening, opaque predicates, смешанную Boolean-Arithmetic-логику, саморасшифровывающиеся stubs и использование секции Windows .reloc для staging shellcode.

В кампании видны признаки финансовой мотивации и вероятной русскоязычной среды оператора. Исследователи указывают на явные исключения, которые не позволяют заражать компьютеры в странах СНГ. Рекламные объявления публиковались под верифицированным именем ВОЛОДИМИР ТЕРЕЩЕНКО, формально связанным с Украиной; при этом неизвестно, принадлежал ли аккаунт самому оператору, был ли куплен или использован как подставной. Google удалил рекламный аккаунт и кампании 14 мая 2026 года.

CastleStealer уже появлялся в других цепочках, включая ClickFix-подобные приманки под бесплатные инструменты редактирования изображений. OXLOADER, по оценке Elastic, находится на ранней операционной стадии, но уровень инженерной проработки показывает, что семейство стоит отслеживать. Комбинация анти-VM-проверок, низкой статической детектируемости и маскировки под обычные бинарники даёт злоумышленникам окно времени до появления устойчивых правил обнаружения.

Для пользователей главный вывод остаётся простым: рекламу в поисковой выдаче нельзя считать гарантией подлинности загрузки. Для администраторов — стоит отдельно мониторить запуск PowerShell из временных каталогов, обращения к необычным Storj-ссылкам, side-loading DLL рядом с установщиками и UAC-запросы, возникающие во время установки популярных developer-инструментов.

Источник: The Hacker News, 22 июня 2026