25 jun Golpe ataca usuários e rouba dados via anúncio falso no Google

Posted at 09:00h in Tech-Pt-br by

Pesquisadores da Elastic Security Labs identificaram uma campanha ativa de distribuição de malware que usa anúncios falsos no Google para enganar usuários e instalar um programa ladrão de informações em computadores Windows.

A operação, batizada de REF8372, envolve um carregador de malware inédito chamado OXLOADER, cujo objetivo é instalar outro programa malicioso, o CastleStealer, responsável por roubar dados das vítimas.

Anúncio patrocinado no Google levava a site falso

Tudo começa quando alguém pesquisa por uma versão do Node.js, um programa muito utilizado por desenvolvedores. Entre os primeiros resultados aparece um anúncio patrocinado que leva a um site falso criado para imitar uma página legítima de download.

OXLOADER.png
Script malicioso exibe uma tela de instalação falsa enquanto baixa o OXLOADER em segundo plano. O processo pede permissão de administrador ao sistema antes de executar o malware. Imagem: Elastic Security Labs.

O anúncio foi publicado por uma conta verificada no Google em nome de “ВОЛОДИМИР ТЕРЕЩЕНКО”, supostamente baseada na Ucrânia. Não se sabe se essa conta pertencia ao próprio atacante ou se foi comprada ou criada como fachada. O Google removeu a conta e os anúncios associados em 14 de maio de 2026.

Como o computador da vítima é infectado

Ao clicar no anúncio falso, o usuário é redirecionado e recebe o download de um arquivo batch, um tipo de script de comandos do Windows, hospedado no Storj, uma plataforma legítima de armazenamento em nuvem. Usar serviços legítimos assim é uma tática comum para fugir de filtros de segurança que bloqueiam domínios suspeitos.

Ao executar o arquivo, a vítima vê uma tela de instalação aparentemente normal, como se estivesse instalando um programa de verdade. Em segundo plano, o script baixa e executa o OXLOADER, que pede permissão de administrador ao sistema por meio de um aviso do Windows conhecido como UAC.

OXLOADER (1).png
Trecho do código do OXLOADER analisado pela Elastic Security Labs mostra como o malware se ativa antes mesmo de qualquer código do usuário ser executado, aproveitando o processo de inicialização do sistema. Imagem: Elastic Security Labs.

O que o OXLOADER faz na máquina

O OXLOADER é um carregador de malware, ou seja, ele não rouba dados diretamente. Sua função é preparar o ambiente e instalar o programa que vai fazer o trabalho sujo. Para isso, ele usa diversas camadas de ofuscação, técnicas que embaralham o código para dificultar a análise por ferramentas de segurança.

Antes de agir, o OXLOADER faz uma série de verificações para garantir que não está sendo analisado em ambientes controlados usados por pesquisadores. Ele checa se a máquina tem ao menos três processadores, 3 GB de memória RAM e uma tela com taxa de atualização de pelo menos 20 Hz. Sandboxes, ambientes virtuais usados para analisar malwares com segurança, costumam ter configurações mais modestas e são filtrados por essas checagens.

O OXLOADER também verifica a localização geográfica da vítima. Se o computador estiver em algum país da Comunidade de Estados Independentes, antiga URSS, ou tiver o sistema configurado em russo, o malware interrompe a execução. Isso é um indicador de que os operadores provavelmente falam russo e escolheram não atacar a própria região para evitar atenção de autoridades locais.

OXLOADER (2).png
Diagrama da Elastic Security Labs mostra o caminho completo da infecção. A vítima parte de uma busca no Google, baixa um arquivo script hospedado no Storj e, ao executá-lo, instala o OXLOADER, que por sua vez carrega o CastleStealer diretamente na memória. Imagem: Elastic Security Labs.

O roubo de dados em si

Depois de passar por todas essas etapas, o OXLOADER carrega na memória do computador o CastleStealer, um programa especializado em roubo de informações. Ele não precisa ser gravado no disco, o que dificulta ainda mais a detecção.

O CastleStealer é um infostealer desenvolvido em .NET, uma plataforma de desenvolvimento da Microsoft. Informações roubadas podem incluir senhas salvas, dados de navegadores, carteiras de criptomoedas e outros arquivos sensíveis, conforme padrão desse tipo de ameaça.

Por que esse ataque é especialmente perigoso

A Elastic destaca que o OXLOADER ainda está em fase inicial de operação, mas o nível de sofisticação técnica chama atenção. O código é deliberadamente construído para parecer legítimo, imitar programas conhecidos e escapar da análise automática.

OXLOADER (3).png
Painel de segurança da Elastic registra múltiplos alertas disparados durante a execução do script malicioso, incluindo execução suspeita de PowerShell e alocação de memória remota, sinais típicos do comportamento do OXLOADER. Imagem: Elastic Security Labs.

Na prática, isso resultou em taxas de detecção muito baixas em ferramentas de análise estática e em ambientes de teste. Isso significa que o malware conseguiu operar sem ser sinalizado pela maioria dos antivírus convencionais por um período relevante.

A recomendação é evitar clicar em resultados patrocinados ao buscar por softwares populares. O download de programas deve ser feito sempre pelo site oficial do desenvolvedor, acessado diretamente pelo navegador, sem passar por links de anúncios.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.