Ator de ameaças financeiramente motivado abusa de anúncios verificados em buscadores e de armazenamento em nuvem legítimo para driblar detecção estática e instalar um infostealer em.NET através de engenharia de evasão avançada.
| Componente | Loader identificado como OXLOADER e o infostealer em.NET CastleStealer |
| Vetor | Anúncios maliciosos no Google redirecionando buscas por software para páginas falsas que utilizam armazenamento em nuvem legítimo (Storj) e scripts de automação |
| Impacto | Comprometimento crítico do endpoint via roubo de informações sensíveis e bypass de detecções estáticas por meio de ofuscação de código e manipulação de memória |
| Prioridade | Implementar monitoramento de tráfego anômalo para serviços de nuvem descentralizados, restringir execução de scripts não assinados e analisar carregamentos anômalos de DLLs |
A campanha rastreada sob o identificador REF8372 articula a distribuição de uma ameaça de roubo de informações aproveitando-se de vetores de ingresso baseados em anúncios maliciosos. O ator de ameaças demonstra forte motivação financeira e características operacionais que apontam para locutores do idioma russo. Essa hipótese de atribuição é sustentada por marcações geográficas explícitas no código malicioso, que bloqueiam a execução da infraestrutura em máquinas localizadas na região da Comunidade de Estados Independentes. O núcleo dessa operação reside na implementação do OXLOADER, um carregador de carga útil (loader) que apesar de estar em uma fase inicial de desenvolvimento, reflete um alto nível de sofisticação técnica projetado para burlar análises de motores de antivírus e ferramentas de detecção em sandbox.
Os mecanismos de evasão construídos no OXLOADER são robustos e utilizam técnicas deliberadas para dificultar a engenharia reversa e a assinatura estática. O binário malicioso implementa achatamento de fluxo de controle (control-flow flattening), predicados opacos e álgebra booleana mista (mixed Boolean-Arithmetic). Além disso, a ameaça manipula de forma indevida a seção .reloc do sistema operacional Windows para estagiar o shellcode em memória, utilizando stubs de descriptografia que se automodificam durante a execução para ocultar a trajetória da infecção.
O objetivo terminal deste fluxo de infecção é a entrega do CastleStealer, classificado como um infostealer desenvolvido no ecossistema.NET. Este malware tem um histórico de distribuição em campanhas de spam que utilizam iscas do tipo ClickFix, simulando a necessidade de correção de imagem ou instalação de ferramentas gratuitas de edição. A investigação aponta que a operação que utiliza o CastleStealer deriva da atividade de um cluster previamente catalogado sob o nome de GrayBravo.
A cadeia de infecção começa quando usuários desavisados realizam buscas por pacotes de software de desenvolvimento em motores de busca, utilizando termos específicos como versões de suporte de longo prazo (LTS) do Node.js. Através de anúncios fraudulentos publicados no Google sob contas falsificadas com nomes cirílicos, os operadores interceptam esse tráfego legítimo, redirecionando a vítima para domínios de phishing estruturados, como node-js[.]prentiva99[.]info.
Ao interagir com a página falsa, a estáção de trabalho da vítima recebe a instrução de baixar um script em lote (batch script). Para evitar bloqueios baseados em reputação de domínio, os atacantes armazenam este payload inicial em uma plataforma de nuvem descentralizada e legítima conhecida como Storj. Quando acionado, este script exibe uma interface gráfica de instalação de software forjada, ocultando a atividade maliciosa em segundo plano.
Neste processo em segundo plano, o script utiliza comandos PowerShell para manipular a execução com privilégios elevados, forçando o aparecimento do prompt de controle de conta de usuário (UAC). Mediante a aceitação do usuário, a máquina baixa o executável real do OXLOADER, também hospedado na plataforma legítima Storj. Para consolidar a infecção, o OXLOADER lança mão de técnicas de side-loading de DLL para injetar uma biblioteca dinâmica irregular no espaço de memória de um processo legítimo. Está biblioteca atua como desofuscadora, decriptografando e executando o payload final do CastleStealer. Todo esse fluxo incorpora verificações anti-máquina virtual para abortar a execução caso detecte ambientes de análise automatizada.
O escopo de exposição desta campanha foca diretamente em profissionais de tecnologia, desenvolvedores e usuários finais que buscam ativamente ferramentas de código aberto, ambientes de execução e softwares utilitários na internet. Estes alvos são interceptados em sua jornada padrão de instalação de dependências, tornando a superfície de ataque altamente eficaz e seletiva.
- Máquinas Windows expostas à internet onde o usuário possui privilégios administrativos locais ou disposição para autorizar a elevação via UAC
- Ambientes de desenvolvimento e engenharia que baixam frequentemente binários externos (como versões LTS do Node.js) a partir de buscadores
- Endpoints sem monitoramento avançado de_MEMória ou sem bloqueio estrito de DLLs não assinadas carregadas por binários legítimos do sistema
- Sistemas defensáveis apenas por assinaturas estáticas, facilmente contornáveis pelas técnicas de álgebra booleana mista e ofuscação implementadas pelo loader
As equipes de resposta a incidentes e monitoramento de segurança devem concentrar a busca por indicadores comportamentais que sinalizem o abuso de serviços em nuvem legítimos, como o Storj, e anomalias em processos legítimos do sistema operacional. O monitoramento de memória e a inspeção de tráfego de rede são cruciais para identificar o comportamento da praga.
- Monitorar requisições de rede de processos inesperados motors conectando-se a endpoints de armazenamento descentralizado (como domínios associados ao Storj) para baixar arquivos executáveis
- Investigar a criação de processos onde um script de automação (como arquivos.bat) invoca ambientes de linha de comando para forçar execução com parâmetros de elevação de privilégio administrativo
- Configurar regras EDR para alertar sobre subprocessos legítimos carregando bibliotecas dinâmicas não assinadas a partir de diretórios graváveis pelo usuário (DLL side-loading)
- Buscar por artefatos de(memória que interagem com a seção
.relocde binários em execução, indicando tentativas de estagiamento de shellcode e modificações estruturais em tempo real - Analisar logs de proxy de saída em busca de tráfego direcionado a domínios suspeitos recém-registrados com extensões
.infoque imitam projetos de código aberto conhecidos
A contenção desta ameaça requer uma postura de segurança em camadas, com ênfase em controle de aplicativos, análise comportamental em endpoints e campanhas agressivas de conscientização contra downloads baseados em anúncios. Como os atacantes continuamente adaptam sua infraestrutura de egresso para contornar listas de bloqueio convencionais, a mitigação precisa focar na quebra da cadeia de execução.
- Treinar desenvolvedores e usuários técnicos para não confiar em links patrocinados em motores de busca para download de softwares de infraestrutura ou dependências de código, priorizando o acesso direto aos repositórios oficiais
- Aplicar regras de controle de aplicativos no Windows para bloquear a execução de scripts em lote, PowerShell e binários não autorizados provenientes de diretórios de gravação aberta
- Reforçar configurações do sistema para exigir autenticação segura no prompt de UAC e impedir a execução de binários não assinados baixados da internet por processos de automação
- Atualizar ferramentas EDR com regras heurísticas focadas na detecção de técnicas de anti-análise, especificamente predicados opacos e fluxos de controle achatados carregados em memória
- Bloquear e eliminar contas de anúncios suspeitas ou que usem perfis de identidade falsos para distribuição horizontal de páginas de download fraudulentas
0 Comentários