Malware OXLOADER
Investigadores de ciberseguridad han descubierto una nueva campaña de malware, denominada REF8372, que emplea un cargador de malware previamente no documentado conocido como OXLOADER para desplegar el malware CastleStealer, que roba información.
La operación comienza con anuncios maliciosos de Google diseñados para atraer a víctimas que buscan software popular. Los análisis sugieren que los responsables de la campaña probablemente hablan ruso y tienen motivaciones económicas. Esta conclusión se basa en la exclusión deliberada del malware de los sistemas ubicados en la Comunidad de Estados Independientes (CEI), una táctica frecuentemente utilizada por grupos ciberdelincuentes que operan en la región.
Aunque los anuncios de la campaña se publicaron bajo el nombre verificado «ВОЛОДИМИР ТЕРЕЩЕНКО», supuestamente con sede en Ucrania, no está claro si esta identidad pertenece a los propios operadores o si se trata de una cuenta comprometida, comprada o falsificada. Google eliminó la cuenta del anunciante y las campañas asociadas el 14 de mayo de 2026.
Tabla de contenido
La manipulación de los motores de búsqueda lleva a las víctimas a sitios web de software falsos.
La cadena de infección se activa cuando los usuarios buscan términos como "versión LTS de Node.js" en buscadores como Google. Las víctimas son redirigidas mediante resultados patrocinados a un sitio web fraudulento, node-js.prentiva99.info, que se hace pasar por un recurso de software legítimo.
Los usuarios que interactúan con el sitio web fraudulento son incitados a descargar un script por lotes alojado en Storj, una plataforma de almacenamiento en la nube descentralizada y de código abierto. El abuso de servicios legítimos como Storj pone de manifiesto una tendencia creciente entre los ciberdelincuentes, quienes recurren cada vez más a plataformas de confianza para eludir los mecanismos de filtrado de seguridad y reputación de dominio.
Una cadena de infección multietapa oculta la actividad maliciosa.
La ejecución del archivo por lotes descargado muestra un asistente de instalación falso, creando la ilusión de una instalación de software legítima mientras se descarga subrepticiamente la carga útil de la siguiente etapa, OXLOADER, desde Storj. El malware se obtiene mediante un comando de PowerShell y se ejecuta con el parámetro -Verb RunAs, lo que genera una solicitud de Control de cuentas de usuario (UAC) de Windows.
Posteriormente, el ataque utiliza técnicas de carga lateral de DLL para ejecutar una biblioteca de vínculos dinámicos maliciosa, que descifra y lanza la carga útil final, CastleStealer.
Las técnicas avanzadas de evasión aumentan las dificultades de detección.
OXLOADER incorpora varias técnicas sofisticadas diseñadas específicamente para dificultar el análisis y evadir la detección:
- Múltiples capas de ofuscación, que incluyen aplanamiento del flujo de control, predicados opacos y técnicas mixtas de aritmética booleana.
- Rutinas de descifrado automodificables, abuso de la sección .reloc de Windows para la preparación de código malicioso y mecanismos anti-sandbox que impiden la ejecución en entornos de análisis virtualizados.
Estas capacidades demuestran un enfoque deliberado y bien diseñado para evitar tanto los mecanismos de detección estáticos como los dinámicos.
La creciente presencia de CastleStealer en operaciones de ciberdelincuencia
CastleStealer es una familia de malware para robo de información basada en .NET que ha aparecido recientemente en campañas adicionales. Anteriormente se distribuía junto con CastleLoader mediante una técnica de ingeniería social similar a ClickFix, que se hacía pasar por una aplicación gratuita de edición de imágenes en una operación conocida como BackgroundFix. CastleLoader se ha vinculado al grupo de amenazas conocido como GrayBravo.
Amenaza en fase inicial con potencial significativo
Aunque OXLOADER parece estar en las primeras etapas de su despliegue operativo, su sofisticación técnica justifica una estrecha vigilancia por parte de los defensores. Varias características indican una inversión sustancial por parte de sus desarrolladores:
- Amplias medidas de ofuscación de código y protección contra máquinas virtuales.
- Uso de código de apariencia inofensiva para enmascarar binarios maliciosos y técnicas únicas de preparación de la carga útil.
Estas decisiones de diseño ya han demostrado su eficacia, permitiendo a OXLOADER alcanzar bajas tasas de detección tanto en motores de escaneo estático como en entornos de detonación automatizada. Como resultado, el malware se beneficia actualmente de una valiosa ventana operativa antes de que se desarrollen firmas de detección y contramedidas generalizadas.