Reclamele Google îți pot virusa calculatorul, iar infecțiile îți pot fura toate datele personale

O simplă căutare pe Google după o versiune stabilă de Node.js poate deveni, în anumite condiții, începutul unui atac informatic sofisticat. Cercetătorii în securitate cibernetică au descoperit o campanie nouă de malvertising, termen folosit pentru reclamele online malițioase, prin care utilizatorii sunt direcționați către site-uri false și infectați ulterior cu CastleStealer, un malware specializat în furtul de informații.

În centrul operațiunii se află OXLOADER, un loader Windows necunoscut până acum publicului larg. Rolul lui este să pregătească terenul pentru malware-ul final, ascunzându-și activitatea prin tehnici avansate de evitare a detecției. Campania, urmărită sub denumirea REF8372, arată încă o dată de ce rezultatele sponsorizate din motoarele de căutare nu trebuie tratate automat ca surse sigure.

Cum începe atacul de la o reclamă aparent legitimă

Atacul pornește de la o metodă extrem de banală: căutarea unei aplicații reale. În cazul observat de specialiști, victimele căutau expresii precum „lts version of node.js”, adică versiunea cu suport pe termen lung a popularei platforme de dezvoltare. Printre rezultate putea apărea o reclamă care trimitea către un site fals, construit să imite o platformă legitimă asociată cu Node.js.

Reclama era prezentată sub un nume de advertiser verificat, asociat aparent cu Ucraina. Asta nu înseamnă însă că identitatea afișată aparținea atacatorilor. Cercetătorii nu au putut confirma dacă era vorba despre un cont controlat direct de operatorii campaniei, o identitate cumpărată sau o metodă de acoperire. Cert este că reclamele și contul respectiv au fost eliminate ulterior de Google, însă utilizatorii care au accesat site-ul fals înainte de această măsură puteau fi deja expuși.

Vezi și:

Cine este și ce studii are Monica Anisie, propunerea lui Adrian Veștea pentru Ministerul Educației

După accesarea paginii, victima era direcționată către un script de tip batch găzduit prin Storj, o platformă legitimă de stocare descentralizată. Folosirea unui serviciu real este o alegere calculată: filtrele bazate exclusiv pe reputația unui domeniu pot considera mai puțin suspectă o platformă cunoscută decât un site obscur creat special pentru distribuirea de malware.

Scriptul afișa un fals proces de instalare, menit să transmită ideea că programul solicitat se descarcă normal. În fundal, acesta prelua OXLOADER prin PowerShell și cerea drepturi ridicate în Windows, declanșând fereastra de confirmare UAC. Tocmai această solicitare de permisiuni ar trebui să fie un semnal de alarmă atunci când descarci un program banal, mai ales dacă nu ai ajuns pe pagina oficială a produsului.

OXLOADER, malware-ul care încearcă să nu lase urme

OXLOADER nu este malware-ul care fură efectiv informațiile, ci componenta care îl livrează pe CastleStealer și îi creează condiții favorabile de rulare. Loader-ul folosește mai multe straturi de obfuscare, adică metode prin care codul este făcut intenționat dificil de analizat de programele antivirus și de specialiști. Printre acestea se numără modificarea fluxului de execuție, calcule logice complicate și secvențe de cod care se decriptează doar în momentul rulării.

Mai mult, malware-ul se ascunde în fișiere care par să aibă legătură cu programe legitime. Unele variante s-au dat drept API Monitor, un instrument real utilizat de dezvoltatori, iar altele au folosit nume asociate cu instalarea Node.js. Această mască poate face ca fișierul să pară mai puțin periculos în fața unor soluții de securitate care analizează doar superficial conținutul executabilului.

O tehnică neobișnuită folosită de OXLOADER implică secțiunea „.reloc” a unui executabil Windows. În mod normal, această zonă este rezervată unor informații tehnice necesare încărcării programului în memorie. Atacatorii au folosit-o însă pentru a ascunde cod malițios, care este apoi mutat și executat într-o altă componentă. Este o abordare care îngreunează analiza statică a fișierului, adică verificarea lui înainte de rulare.

Loader-ul verifică inclusiv dacă rulează într-un mediu de test, într-o mașină virtuală sau într-un sandbox. Poate opri infectarea dacă dispozitivul are prea puțină memorie RAM, prea puține nuclee de procesare ori caracteristici grafice neobișnuite. De asemenea, campania include excluderi pentru calculatoarele localizate în state din Comunitatea Statelor Independente și pentru sistemele configurate în limba rusă, un indiciu că operatorii ar putea fi vorbitori de rusă și urmări câștiguri financiare.

De ce reclamele sponsorizate nu trebuie tratate ca surse oficiale

Cea mai importantă lecție din această campanie este că poziționarea într-un rezultat sponsorizat nu reprezintă o garanție de siguranță. Atacatorii folosesc din ce în ce mai des branduri cunoscute, denumiri de aplicații populare și reclame plătite pentru a profita de graba utilizatorilor. O pagină care pare bine realizată, un logo familiar și un buton de download convingător pot fi suficiente pentru a determina pe cineva să descarce un fișier periculos.

Când cauți un program precum Node.js, Discord, Zoom, un editor foto sau un utilitar de sistem, este mai sigur să intri direct pe site-ul oficial al companiei. Evită să descarci instalatoare din reclame, din rezultate cu domenii ciudate sau de pe pagini care cer rularea unui script, confirmarea unor comenzi PowerShell ori acordarea rapidă de privilegii de administrator.

OXLOADER pare să fie într-o fază relativ timpurie de folosire, însă construcția lui arată că autorii au investit timp în evitarea soluțiilor de securitate. Pentru utilizatori, riscul nu vine doar din fișierele primite pe e-mail sau din linkurile trimise pe rețele sociale. Uneori, capcana poate apărea chiar în prima reclamă afișată atunci când cauți un program legitim pe Google.

BYD lovește direct Ferrari și Porsche: roadsterul electric Denza Z are 1.582 CP și 1-100kmph sub 2 secunde