Campanie de malvertising pe Google: căutarea Node.js duce la infectarea cu CastleStealer
Cercetătorii de securitate au descoperit o campanie de malvertising care vizează utilizatorii care caută Node.js, infectându-i cu malware-ul CastleStealer prin intermediul loader-ului OXLOADER.
O simplă căutare pe Google după o versiune stabilă de Node.js poate deveni, în anumite condiții, începutul unui atac informatic sofisticat. Cercetătorii în securitate cibernetică au descoperit o campanie nouă de malvertising, prin care utilizatorii sunt direcționați către site-uri false și infectați cu CastleStealer, un malware specializat în furtul de informații.
Cum funcționează atacul
Atacul pornește de la o metodă extrem de banală: căutarea unei aplicații reale. Victimele căutau expresii precum „lts version of node.js”. Printre rezultate putea apărea o reclamă care trimitea către un site fals, construit să imite o platformă legitimă asociată cu Node.js.
Reclama era prezentată sub un nume de advertiser verificat, asociat aparent cu Ucraina. Cercetătorii nu au putut confirma dacă era vorba despre un cont controlat direct de operatorii campaniei, o identitate cumpărată sau o metodă de acoperire. Cert este că reclamele și contul respectiv au fost eliminate ulterior de Google.
Rolul OXLOADER
În centrul operațiunii se află OXLOADER, un loader Windows necunoscut până acum. Rolul lui este să pregătească terenul pentru malware-ul final, ascunzându-și activitatea prin tehnici avansate de evitare a detecției. Campania este urmărită sub denumirea REF8372.
După accesarea paginii false, victima era direcționată către un script batch găzduit prin Storj, o platformă legitimă de stocare descentralizată. Scriptul afișa un fals proces de instalare, iar în fundal prelua OXLOADER prin PowerShell și cerea drepturi ridicate în Windows, declanșând fereastra de confirmare UAC.
Tehnici de ascundere
OXLOADER folosește mai multe straturi de obfuscare, inclusiv modificarea fluxului de execuție, calcule logice complicate și secvențe de cod care se decriptează doar în momentul rulării. Malware-ul se ascunde în fișiere care par să aibă legătură cu programe legitime, precum API Monitor sau instalarea Node.js.
O tehnică neobișnuită implică secțiunea „.reloc” a unui executabil Windows, unde atacatorii ascund cod malițios. Loader-ul verifică dacă rulează într-un mediu de test, într-o mașină virtuală sau într-un sandbox, și poate opri infectarea dacă dispozitivul are prea puțină memorie RAM sau prea puține nuclee de procesare.
Protecție recomandată
Cea mai importantă lecție este că poziționarea într-un rezultat sponsorizat nu reprezintă o garanție de siguranță. Atacatorii folosesc branduri cunoscute și reclame plătite pentru a profita de graba utilizatorilor. Când cauți un program precum Node.js, este mai sigur să intri direct pe site-ul oficial al companiei și să eviți descărcarea din reclame sau din domenii suspecte.
