OXLOADER lockt über Google Ads in die Malware-Falle : Neuer Loader verteilt CastleStealer über gefälschte Node.js-Seiten

Sicherheitsanalysten von Elastic Security Labs haben eine neue Kampagne offengelegt, bei der ein bislang nicht dokumentierter Malware-Loader namens OXLOADER zum Einsatz kommt. Die Kampagne trägt den Codenamen REF8372 und verfolgt offenbar ein finanzielles Ziel. Hinweise im Code sprechen dafür, dass die Täter russischsprachig sein könnten: Systeme in der Gemeinschaft Unabhängiger Staaten (GUS) werden ausdrücklich von einer Infektion ausgenommen.

Der Angriff beginnt dort, wo viele Nutzer eigentlich vertrauen: bei der Websuche. Die Täter verschicken keine klassische Phishing-E-Mail, sondern platzieren manipulierte Anzeigen in Suchmaschinen. Wer nach einer aktuellen Langzeitversion von Node.js sucht, kann dadurch auf einen gesponserten Treffer klicken, der seriös wirkt, aber auf eine gefälschte Seite führt.

Diese Seite nutzte die Domain „node-js[.]prentiva99[.]info“ und sollte den Eindruck erwecken, mit Node.js in Verbindung zu stehen. Beworben wurde sie über Google Ads unter dem verifizierten Namen „ВОЛОДИМИР ТЕРЕЩЕНКО“. Ob dieses Werbekonto den Angreifern selbst gehörte, nur als Tarnung diente, oder über eine fremde, beziehungsweise gekaufte Identität lief, ist bislang nicht geklärt.

Google entfernte das Werbekonto und die zugehörigen Kampagnen am 14. Mai 2026. Der Fall verdeutlicht, wie gefährlich gesponserte Suchtreffer sein können: Selbst wer aktiv nach legitimer Software sucht, kann auf eine professionell platzierte Schadseite geraten.

Vom Suchergebnis zur Infektionskette

Wer die gefälschte Seite besucht, bekommt zunächst kein normales Installationsprogramm, sondern ein Batch-Skript. Ein solches Skript ist eine einfache Windows-Befehlsdatei, die mehrere Anweisungen automatisch nacheinander ausführt. Abgelegt ist diese Datei auf Storj, einer dezentralen Open-Source-Cloud-Speicherplattform.

Für Sicherheitsverantwortliche ist das problematisch. Die Datei kommt nicht von einer offensichtlich verdächtigen Domain, sondern von einem legitimen Dienst. Dadurch greifen einfache Sperrlisten oder Reputationsfilter oft schlechter, weil der erste Download aus einer auf den ersten Blick vertrauenswürdigen Quelle stammt.

Startet der Nutzer das Skript, zeigt es eine gefälschte Installationsoberfläche an. Nach außen sieht es also so aus, als würde eine normale Softwareinstallation laufen. Im Hintergrund passiert jedoch etwas anderes: Das Skript lädt über PowerShell die nächste Schadcode-Stufe nach. Dabei handelt es sich um die ausführbare Datei OXLOADER, die ebenfalls von Storj abgerufen wird.

Anschließend wird OXLOADER mit dem Parameter „-Verb RunAs“ gestartet. Dadurch fordert Windows erhöhte Rechte an und zeigt eine Abfrage der Windows User Account Control (UAC), also der Benutzerkontensteuerung. Bestätigt der Nutzer diese Abfrage, darf der Schadcode mit mehr Rechten laufen. Damit erhält er deutlich bessere Möglichkeiten, sich im System festzusetzen, weitere Komponenten nachzuladen oder Schutzmechanismen zu umgehen.

Warum OXLOADER schwer zu analysieren ist

OXLOADER dient als vorgeschalteter Loader. Seine Aufgabe besteht darin, die eigentliche Schadsoftware möglichst unauffällig auf das System zu bringen. Dafür nutzt die Kampagne Dynamic Link Library Sideloading (DLL-Sideloading). Dabei wird ein legitimer oder legitim wirkender Prozess dazu gebracht, eine manipulierte DLL zu laden. Diese DLL entschlüsselt anschließend CastleStealer und führt den Datendieb aus.

Elastic beschreibt den Loader als technisch aufwendig verschleiert. Die Forscher Daniel Stepanic und Jia Yu Chan erklären, der Code nutze mehrere Ebenen der Obfuskation, darunter Control-Flow Flattening, undurchsichtige Bedingungen, Mixed Boolean-Arithmetic, selbstverändernde Entschlüsselungsroutinen und den Missbrauch der Windows-Sektion „.reloc“, um Shellcode vorzubereiten. Vereinfacht gesagt: Der Programmablauf wird absichtlich so verworren gestaltet, dass statische Analysewerkzeuge und automatische Erkennungssysteme möglichst wenig klare Muster erkennen.

Hinzu kommen Anti-Analyse-Funktionen. OXLOADER prüft, ob er in einer Sandbox oder virtuellen Analyseumgebung läuft. Solche Umgebungen werden von Sicherheitsanbietern genutzt, um verdächtige Dateien kontrolliert auszuführen. Erkennt Malware eine solche Umgebung, kann sie ihr Verhalten ändern oder abbrechen, um unauffällig zu bleiben.

CastleStealer als eigentliche Nutzlast

Die eigentliche Schadsoftware, die am Ende der Angriffskette ausgeführt wird, heißt CastleStealer. Sie wurde in .NET entwickelt, also mit einer weit verbreiteten Microsoft-Technologie für Windows-Anwendungen. CastleStealer ist kein Verschlüsselungstrojaner, sondern ein Informationsdieb. Sein Ziel ist es, verwertbare Daten vom infizierten System zu stehlen.

Dazu können Zugangsdaten, gespeicherte Passwörter aus Browsern, Sitzungscookies, Anmeldetokens oder andere Informationen gehören, mit denen sich Angreifer später bei Konten und Diensten anmelden können. Gerade solche Daten sind für Cyberkriminelle wertvoll, weil sie damit weitere Angriffe vorbereiten, Konten übernehmen oder Zugänge verkaufen können.

CastleStealer ist nicht völlig neu. Die Malware wurde bereits zuvor zusammen mit CastleLoader in einer Kampagne namens BackgroundFix verteilt. Damals setzten die Angreifer auf eine ClickFix-ähnliche Masche: Nutzer sollten glauben, sie müssten ein harmloses Problem beheben oder ein nützliches Werkzeug installieren. Konkret tarnte sich die Kampagne als kostenloses Bildbearbeitungsprogramm.

CastleLoader, der dabei als vorgeschalteter Loader diente, wird dem Aktivitätscluster GrayBravo zugeschrieben. Das zeigt, dass CastleStealer bereits in anderen Angriffsketten genutzt wurde und nun über OXLOADER erneut in einer technisch weiterentwickelten Verteilkampagne auftaucht.

Elastic bewertet OXLOADER als noch junge, aber ernst zu nehmende Malware-Familie. Die Forscher schreiben sinngemäß: OXLOADER befinde sich in einer frühen Einsatzphase, doch die technische Umsetzung zeige, dass diese Familie beobachtet werden müsse. Die Kombination aus Code-Verschleierung, Anti-VM-Maßnahmen, harmlos wirkendem Tarncode und ungewöhnlichen Staging-Techniken sei das Ergebnis bewusster Entwicklungsentscheidungen, um Analysen zu erschweren.

Auch die Wirkung dieser Investition ist bereits sichtbar. Laut Elastic führen die Maßnahmen zu niedrigen Erkennungsraten bei statischen Scannern und automatisierten Ausführungsumgebungen. Dadurch erhält OXLOADER ein Zeitfenster, in dem die Malware arbeiten kann, bevor sie von Sicherheitsforschern gezielt gejagt und erkannt wird.

Was Unternehmen daraus lernen sollten

Die Kampagne zeigt, wie stark Angreifer inzwischen auf vertrauenswürdig wirkende Einstiegspunkte setzen. Eine Werbeanzeige in einer Suchmaschine, eine gefälschte Entwicklerseite, ein legitimer Cloud-Speicherdienst und eine vertraut wirkende Installationsoberfläche reichen aus, um eine technisch anspruchsvolle Infektionskette zu starten.

Für Unternehmen bedeutet das: Schutzmaßnahmen dürfen nicht erst bei der endgültigen Nutzlast ansetzen. Wichtig sind die Kontrolle von Skriptausführung, PowerShell-Aktivitäten, UAC-Eskalationen, verdächtigen DLL-Ladevorgängen und Downloads von ungewöhnlichen Speicherorten. Ebenso sollten Entwickler und Administratoren sensibilisiert werden, Installationsdateien nicht über Anzeigen oder gesponserte Suchtreffer zu beziehen. Gerade bei populären Entwicklerwerkzeugen sind offizielle Quellen und geprüfte Download-Pfade ein zentraler Schutz.