Cómo una búsqueda de Node.js termina infectando el sistema: la nueva amenaza OXLOADER emerge a través de anuncios fraudulentos

📅 28/06/2026

Una sofisticada operación maliciosa está aprovechando la confianza que los usuarios depositan en los resultados patrocinados de los motores de búsqueda. Denominada REF8372 por los investigadores de Elastic Security Labs, esta campaña despliega anuncios falsos de Google Ads para dirigir a las víctimas hacia un sitio web fraudulento. El objetivo final es depositar en el equipo comprometido un peligroso ladrón de información conocido como CastleStealer, empleando para ello un cargador previamente no documentado: OXLOADER.

«La publicidad en buscadores se ha convertido en un vector de ataque recurrente. No es la página del desarrollador lo que aparece, sino una puerta de entrada a la cadena de infección», advierten los especialistas en ciberseguridad.

La mecánica del ataque es minuciosa. Todo comienza cuando un desarrollador o entusiasta tecnológico busca términos como «lts version of node.js» en Google. Entre los primeros resultados patrocinados aparece un anuncio que conduce a la página node-js[.]prentiva99[.]info, clonada para imitar el aspecto oficial del sitio de Node.js. La falsificación es tan cuidada que incluso los usuarios experimentados pueden caer en el engaño si no prestan atención a la URL.

El engaño en varias fases: de un clic a la infección total

Una vez que la víctima accede al sitio fraudulento, el servidor despliega un script por lotes que se aloja en Storj, un conocido servicio de almacenamiento descentralizado en la nube. La elección de esta plataforma no es casual: Storj es un servicio legítimo y de buena reputación, por lo que muchos filtros de seguridad y sistemas de detección de amenazas tienden a confiar en él. Al utilizar un repositorio fiable, los atacantes sortean con facilidad los mecanismos de bloqueo tradicionales.

El script ejecutado muestra al usuario un instalador falso que simula ser la configuración de Node.js. Mientras la pantalla muestra barras de progreso y mensajes de instalación, el código malicioso trabaja en segundo plano. A través de PowerShell, descarga OXLOADER e intenta ejecutarlo con privilegios elevados mediante una solicitud de Control de Cuentas de Usuario (UAC). Si la víctima acepta la elevación (algo habitual cuando se espera una instalación legítima), el cargador obtiene todos los permisos necesarios para continuar su avance.

CastleStealer: un ladrón de datos con pasado oscuro

CastleStealer es un programa malicioso basado en .NET especializado en el robo de credenciales, cookies, archivos de configuración y otra información sensible almacenada en el navegador y en el sistema operativo. No es la primera vez que este malware aparece en el radar de los investigadores. Anteriormente se distribuía junto con otro cargador, CastleLoader, utilizando una táctica conocida como ClickFix. En aquella campaña, los atacantes ofrecían a los usuarios una supuesta herramienta gratuita para editar imágenes; al hacer clic en el botón de descarga, en realidad se iniciaba la infección. Los especialistas vinculan a CastleLoader con el clúster de actividad GrayBravo, un grupo de amenazas persistente y activo.

La combinación de OXLOADER y CastleStealer representa una evolución preocupante. Mientras que CastleStealer es conocido, OXLOADER es una pieza de software nueva que está aún en una etapa temprana de desarrollo. Los analistas de Elastic Security Labs señalan que el cargador incorpora:

«Estas técnicas reducen drásticamente las probabilidades de que la amenaza sea capturada por escáneres estáticos y sistemas automatizados durante la fase inicial de la campaña», explican los investigadores.

La respuesta de Google y el futuro de OXLOADER

Tras ser alertada por Elastic Security Labs, Google eliminó la cuenta publicitaria y todas las campañas asociadas el pasado 14 de mayo de 2026. Sin embargo, los expertos consideran que esto es solo un parche temporal. OXLOADER representa una nueva familia de cargadores con una protección sofisticada contra el análisis, lo que la convierte en un objetivo de seguimiento prioritario. Es probable que los ciberdelincuentes detrás de REF8372 ajusten sus tácticas y vuelvan a aparecer con nuevas campañas o variantes del malware.

Para los profesionales y entusiastas que trabajan con Node.js y otros entornos de desarrollo, la recomendación es extremar la precaución al hacer clic en enlaces patrocinados. Siempre es preferible escribir la URL oficial directamente en el navegador o acceder a través de marcadores verificados. Además, mantener un sistema de seguridad robusto con capacidades de detección de comportamiento y análisis dinámico puede ayudar a identificar estas amenazas en sus primeras etapas.

Cómo una búsqueda de Node.js termina infectando el sistema: la nueva amenaza OXLOADER emerge a través de anuncios fraudulentos

Contenido original en https://www.securitylab.lat/news/574075.php

Derechos de autor
Si cree que algún contenido infringe derechos de autor o propiedad intelectual, contacte en [email protected].


Copyright notice
If you believe any content infringes copyright or intellectual property rights, please contact [email protected].