Buscaban la última versión de Node.js y descargaron un virus invisible: así se propaga OXLOADER
Cuando hasta el primer resultado de búsqueda intenta robarte las contraseñas, casi no hay escapatoria.
La publicidad en buscadores cada vez más se convierte en una puerta de entrada no al sitio del desarrollador, sino a la cadena de infección, y la nueva campaña maliciosa REF8372 utilizó anuncios falsos de Google Ads para entregar el programa que roba información CastleStealer a través del cargador desconocido hasta ahora OXLOADER.
Según Elastic Security Labs, el ataque comenzaba con consultas como «lts version of node.js». El usuario veía un enlace publicitario al sitio falso node-js[.]prentiva99[.]info, diseñado para parecerse a la página de Node.js.
Tras acceder, el sitio entregaba un script por lotes alojado en Storj, un almacenamiento en la nube descentralizado legítimo. Esta táctica ayudaba a eludir filtros que confían en servicios conocidos y reaccionan peor ante archivos maliciosos alojados en ellos.
La ejecución del script mostraba un instalador falso y, a la vez, mediante PowerShell descargaba OXLOADER e intentaba ejecutarlo con privilegios elevados a través de una solicitud del control de cuentas de Windows. Luego el cargador aplicaba una suplantación de DLL al iniciarse, descifraba la siguiente etapa y entregaba el control a CastleStealer.
OXLOADER complica el análisis con varias capas de ofuscación de código, secciones que se autorrevelan mediante descifrado y comprobaciones para detectar ejecuciones en sandbox o entornos virtuales. Estas técnicas reducen las probabilidades de que la amenaza sea detectada por escáneres estáticos y sistemas automáticos de análisis, especialmente en la fase inicial de la campaña.
CastleStealer es un programa que roba información basado en .NET. Anteriormente el malware ya se distribuía junto con CastleLoader mediante un cebo al estilo ClickFix, donde se ofrecía a los usuarios una supuesta herramienta gratuita para editar imágenes. Los especialistas vinculan a CastleLoader con el clúster de actividad GrayBravo.
Google eliminó la cuenta publicitaria y las campañas relacionadas el 14 de mayo de 2026, pero Elastic considera que OXLOADER es una familia en etapa temprana de desarrollo que merece seguimiento debido a su protección sofisticada contra el análisis.