Zum Inhalt springen

OXLOADER: Neuer Malware-Loader über Google-Anzeigen verbreitet sich

Auf den Punkt: Ein neuer Loader namens OXLOADER wird über Malvertising auf Google verbreitet und installiert den Infostealer CastleStealer mit ausgefeilten Verschleierungstechniken bei sehr niedriger Erkennungsrate.

Sicherheitsanalysten von Elastic Security Labs haben eine Kampagne dokumentiert, in der der Malware-Loader OXLOADER über manipulierte Google-Anzeigen verbreitet wird. Das Ziel ist die Installation des Passwort-Diebs CastleStealer auf Opfer-Systemen.

Die Kampagne, intern als REF8372 bezeichnet, nutzt gefälschte Werbeanzeigen im Google-Netzwerk. Die Anzeigen erscheinen bei Suchanfragen nach populärer Software wie der LTS-Version von Node.js und leiten Nutzer auf manipulierte Webseiten weiter. Die Anzeigen liefen unter dem Namen eines ukrainischen Werbekontos; Google löschte die Kampagne Mitte Mai 2026.

Auf der gefälschten Seite wird ein bösartiges Skript über den Cloud-Speicherdienst Storj ausgeliefert. Das Script zeigt eine falsche Installationsmaske an, während im Hintergrund per PowerShell die OXLOADER-Datei nachgeladen wird. OXLOADER fordert UAC-Rechte an und lädt dann über DLL-Side-Loading eine manipulierte Bibliothek, die den .NET-basierten Infostealer CastleStealer im Systemspeicher entschlüsselt und ausführt.

OXLOADER setzt mehrere Verschleierungstechniken ein: Abflachung des Kontrollflusses, opake Prädikate, gemischte boolesche Arithmetik, selbstmodifizierende Entschlüsselungs-Stubs und missbräuchliche Nutzung des Windows-.reloc-Bereichs für Shellcode. Diese technische Konstruktion führt zu sehr niedriger Erkennungsrate durch statische Scanner und Sandbox-Systeme.

CastleStealer ist gezielt darauf ausgelegt, Systemdaten, Passwörter und Kryptowährungsinformationen zu extrahieren. OXLOADER enthält Ausschlusskriterien, die die Infektion abbrechen, wenn das System auf eine Sprache oder Region der Gemeinschaft Unabhängiger Staaten eingestellt ist. Dies deutet laut den Analysten darauf hin, dass die Akteure im russischsprachigen Raum ansässig sind und überwiegend finanzielle Ziele verfolgen.


Quelle: www.it-daily.net · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: