){kind=link}
Pesquisadores da Elastic Security Labs identificaram uma campanha ativa de distribuição de malware que usa anúncios falsos no Google para enganar usuários e instalar um programa ladrão de informações em computadores Windows.
A operação, batizada de REF8372, envolve um carregador de malware inédito chamado OXLOADER, cujo objetivo é instalar outro programa malicioso, o CastleStealer, responsável por roubar dados das vítimas.
smart_display
Nossos vídeos em destaque
Anúncio patrocinado no Google levava a site falso
Tudo começa quando alguém pesquisa por uma versão do Node.js, um programa muito utilizado por desenvolvedores. Entre os primeiros resultados aparece um anúncio patrocinado que leva a um site falso criado para imitar uma página legítima de download.
O anúncio foi publicado por uma conta verificada no Google em nome de “ВОЛОДИМИР ТЕРЕЩЕНКО”, supostamente baseada na Ucrânia. Não se sabe se essa conta pertencia ao próprio atacante ou se foi comprada ou criada como fachada. O Google removeu a conta e os anúncios associados em 14 de maio de 2026.
Como o computador da vítima é infectado
Ao clicar no anúncio falso, o usuário é redirecionado e recebe o download de um arquivo batch, um tipo de script de comandos do Windows, hospedado no Storj, uma plataforma legítima de armazenamento em nuvem. Usar serviços legítimos assim é uma tática comum para fugir de filtros de segurança que bloqueiam domínios suspeitos.
Ao executar o arquivo, a vítima vê uma tela de instalação aparentemente normal, como se estivesse instalando um programa de verdade. Em segundo plano, o script baixa e executa o OXLOADER, que pede permissão de administrador ao sistema por meio de um aviso do Windows conhecido como UAC.
)
O que o OXLOADER faz na máquina
O OXLOADER é um carregador de malware, ou seja, ele não rouba dados diretamente. Sua função é preparar o ambiente e instalar o programa que vai fazer o trabalho sujo. Para isso, ele usa diversas camadas de ofuscação, técnicas que embaralham o código para dificultar a análise por ferramentas de segurança.
Antes de agir, o OXLOADER faz uma série de verificações para garantir que não está sendo analisado em ambientes controlados usados por pesquisadores. Ele checa se a máquina tem ao menos três processadores, 3 GB de memória RAM e uma tela com taxa de atualização de pelo menos 20 Hz. Sandboxes, ambientes virtuais usados para analisar malwares com segurança, costumam ter configurações mais modestas e são filtrados por essas checagens.
O OXLOADER também verifica a localização geográfica da vítima. Se o computador estiver em algum país da Comunidade de Estados Independentes, antiga URSS, ou tiver o sistema configurado em russo, o malware interrompe a execução. Isso é um indicador de que os operadores provavelmente falam russo e escolheram não atacar a própria região para evitar atenção de autoridades locais.
)
O roubo de dados em si
Depois de passar por todas essas etapas, o OXLOADER carrega na memória do computador o CastleStealer, um programa especializado em roubo de informações. Ele não precisa ser gravado no disco, o que dificulta ainda mais a detecção.
O CastleStealer é um infostealer desenvolvido em .NET, uma plataforma de desenvolvimento da Microsoft. Informações roubadas podem incluir senhas salvas, dados de navegadores, carteiras de criptomoedas e outros arquivos sensíveis, conforme padrão desse tipo de ameaça.
Por que esse ataque é especialmente perigoso
A Elastic destaca que o OXLOADER ainda está em fase inicial de operação, mas o nível de sofisticação técnica chama atenção. O código é deliberadamente construído para parecer legítimo, imitar programas conhecidos e escapar da análise automática.
)
Na prática, isso resultou em taxas de detecção muito baixas em ferramentas de análise estática e em ambientes de teste. Isso significa que o malware conseguiu operar sem ser sinalizado pela maioria dos antivírus convencionais por um período relevante.
A recomendação é evitar clicar em resultados patrocinados ao buscar por softwares populares. O download de programas deve ser feito sempre pelo site oficial do desenvolvedor, acessado diretamente pelo navegador, sem passar por links de anúncios.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.