AbejaIT AbejaIT

OXLOADER: nowy malware wykorzystuje fałszywe reklamy Google do dystrybucji CastleStealer

08.07.2026

Badacze cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania, w której wykorzystywany jest wcześniej nieznany loader OXLOADER do dystrybucji stealera CastleStealer. Atakujący posługują się fałszywymi reklamami Google Ads jako wektorem infekcji, co sprawia, że zagrożenie jest szczególnie trudne do wykrycia. Analitycy Elastic Security Labs wskazują, że za kampanią stoją prawdopodobnie rosyjskojęzyczni cyberprzestępcy motywowani finansowo.

Malvertising — ataki z użyciem złośliwych reklam internetowych — stanowi jeden z najtrudniejszych do zwalczenia wektorów infekcji. W przeciwieństwie do phishingu e-mailowego, który wymaga aktywnego działania ofiary (otwarcia wiadomości, kliknięcia linku), malvertising może atakować użytkowników podczas normalnego korzystania z wyszukiwarki lub portali informacyjnych. Kampania OXLOADER/CastleStealer wykryta przez Elastic Security Labs podnosi poprzeczkę o kolejny poziom: atakujący nie tylko kupili fałszywe reklamy w Google Ads, ale stworzyli przekonujące imitacje stron z oprogramowaniem, które przenoszą złośliwy payload.

OXLOADER: mechanizm działania nowego loadera

OXLOADER to wcześniej nieznany loader — złośliwe oprogramowanie, którego zadaniem jest niepostrzeżone pobranie i uruchomienie właściwego payloadu (CastleStealer) po infekcji urządzenia ofiary. Loader jest zaprojektowany tak, aby uniknąć detekcji przez systemy antywirusowe i sandbox analysis — stosuje techniki obfuskacji kodu, sprawdza środowisko wykonania pod kątem oznak analizy i wdraża payload dopiero po spełnieniu określonych warunków.

Wektor infekcji wygląda następująco: użytkownik wyszukuje w Google popularne oprogramowanie (np. narzędzie deweloperskie, aplikację do edycji wideo lub oprogramowanie biznesowe), a wyniki wyszukiwania zawierają płatną reklamę prowadzącą do fałszywej strony imitującej oficjalną witrynę producenta. Na tej stronie użytkownik pobiera instalator, który w rzeczywistości zawiera OXLOADER.

CastleStealer: co jest kradzione?

Po zainstalowaniu przez OXLOADER, CastleStealer przystępuje do ekstrakcji wartościowych danych z zainfekowanego systemu. Typowe cele stealerów tej klasy obejmują:

  • Hasła zapisane w przeglądarkach (Chrome, Firefox, Edge) oraz portfele kryptowalut.
  • Pliki cookies sesji umożliwiające przejęcie kont bez znajomości hasła.
  • Dane kart płatniczych zapisane w przeglądarkach.
  • Tokeny uwierzytelniające aplikacji (Discord, Telegram, VPN).
  • Pliki konfiguracyjne z poświadczeniami (SSH keys, .env, konfiguracje CI/CD).

Skradzione dane są przesyłane do serwerów Command and Control atakujących i mogą być następnie sprzedawane na forach dark web lub wykorzystane bezpośrednio do ataków na firmy, z którymi zainfekowany pracownik ma kontakt służbowy.

Implikacje dla firm: ryzyko kompromitacji przez pracownika

Kampania OXLOADER jest groźna dla firm B2B nie tylko z powodu bezpośredniego zagrożenia dla zainfekowanych urządzeń. Pracownicy regularnie pobierają oprogramowanie — deweloperzy szukają narzędzi, działy marketingu pobierają edytory graficzne, administracja szuka aplikacji do zarządzania dokumentami. Jeśli jedno z tych pobrań trafi na fałszywą reklamę, skradzione poświadczenia mogą dać atakującym dostęp do systemów firmowych, repozytoriów kodu, środowisk cloud czy platform SaaS.

Ochrona przed malvertising wymaga kombinacji szkoleń pracowniczych (weryfikacja URL przed pobraniem, korzystanie z oficjalnych stron zamiast reklam), technicznych środków (DNS filtering, endpoint protection z sandboxingiem) i polityk zarządzania oprogramowaniem (centralny katalog zatwierdzonych narzędzi).

AbejaIT: bezpieczna reklama online i ochrona przed malvertisingiem

Kampania OXLOADER ma podwójne znaczenie dla firm: jako zagrożenie bezpieczeństwa pracowników, ale też jako sygnał ostrzegawczy dla działów marketingu korzystających z Google Ads. Fałszywe reklamy podszywające się pod marki budują erozję zaufania do reklam cyfrowych i mogą prowadzić do sytuacji, w których klienci szukający Twojej firmy trafiają na złośliwe imitacje.

W AbejaIT pomagamy firmom zarządzać kampaniami reklamowymi w sposób bezpieczny i efektywny, a jednocześnie doradzamy w zakresie monitorowania marki w sieci i reakcji na incydenty związane z podszywaniem się pod firmę. W ramach doradztwa IT wspieramy też budowanie polityk bezpieczeństwa obejmujących zarządzanie oprogramowaniem i ochronę przed malvertisingiem. Złośliwe reklamy to zagrożenie realne — warto mieć procesy, które je minimalizują.

Bezpieczne pobieranie oprogramowania: procedury dla firm

Każda organizacja powinna posiadać udokumentowaną politykę pobierania i instalowania oprogramowania. Pracownicy powinni wiedzieć, że oprogramowanie do pracy pobieramy wyłącznie z oficjalnych stron producentów — bezpośrednio wpisując adres, nie przez wyszukiwarkę — oraz że instalacja nowych narzędzi wymaga uprzedniej zgody działu IT. Przeglądarki powinny mieć włączone ostrzeżenia o podejrzanych plikach wykonywalnych, a systemy EDR skonfigurowane do blokowania podejrzanych procesów instalacyjnych.

Inwestycja w centralne zarządzanie oprogramowaniem (Software Asset Management, SAM) nie tylko redukuje ryzyko bezpieczeństwa, ale też upraszcza compliance licencyjny i ułatwia audyty. Organizacje z dojrzałym SAM mają pełen obraz zainstalowanego oprogramowania, co pozwala szybko zidentyfikować potencjalnie zainfekowane stacje robocze po ujawnieniu nowej kampanii malware. Połączenie technicznych kontroli, jasnych procedur i regularnych szkoleń tworzy wielowarstwową obronę przed kampaniami typu OXLOADER, która jest trudna do przełamania nawet przez zaawansowanych atakujących dysponujących dobrze przygotowaną infrastrukturą złośliwych reklam i przekonującymi fałszywymi stronami. Inwestycja w te środki dziś jest zabezpieczeniem przed stratami wielokrotnie wyższymi jutro.

Źródło: The Hacker News