Фейкова спонсорована реклама Node.js вела до Windows-ланцюга, де завантажувач OXLOADER запускав інфостілер CastleStealer. Кампанію описала Elastic Security Labs, але практичний ризик не лише в новій назві сімейства: звичайна на вигляд реклама програмного забезпечення може привести до batch-скрипта, PowerShell-завантаження, UAC-запиту, DLL side-loading та крадіжки даних браузера.
За даними Elastic, описану рекламну кампанію вже прибрали. Але сама схема залишається актуальною: якщо ви нещодавно встановлювали Node.js або інший інструмент зі спонсорованого результату пошуку, перевірте джерело інсталятора і сам ПК, перш ніж довіряти цьому файлу.
Кого це стосується
У звіті йдеться про Windows-користувачів, які шукали LTS-версію Node.js. Фейковий результат вів на node-js[.]prentiva99[.]info, далі через редирект до batch-скрипта на Storj. Скрипт показував підроблений процес встановлення, а паралельно завантажував і запускав OXLOADER.
Найбільший ризик мають розробники, студенти та користувачі, які часто ставлять runtime-и й утиліти з пошуку. Але фінальний payload, CastleStealer, цікавий і домашнім користувачам, бо цілиться в дані браузера, cookies, паролі та криптогаманці.
Як виглядав ланцюг атаки
| Початкова пастка | Спонсорований результат пошуку, що імітував завантаження Node.js. |
| Відомий фейковий домен | node-js[.]prentiva99[.]info. |
| Файли запуску | BATPackageBuilderSetup.bat і BATPackageBulderSetup.bat. |
| Зразки loader-а | apimonitor-x64.exe та node-v24.15.0-x64-86.exe. |
| Payload | CastleStealer, який запускається після розпакування OXLOADER і side-loading компонентів. |
| Чому це важко помітити | Фейковий installer UI, UAC-запит, anti-VM перевірки, обфускація та низька початкова детектованість. |
Що перевірити після встановлення Node.js із реклами
- Перегляньте історію браузера й джерело завантаження. Справжній Node.js має йти з офіційного домену проєкту, а не з lookalike-сторінки або рекламного редиректу.
- Перевірте
%USERPROFILE%\Downloads,%TEMP%і нещодавні завантаження браузера на назви файлів зі списку вище. - Якщо підозрілий файл запускався, змініть важливі паролі з чистого пристрою та відкличте активні сесії пошти, банкінгу, криптогаманців, робочих і developer-акаунтів.
- Перевірте автозапуск, Task Scheduler, нещодавню активність PowerShell та UAC-запити біля часу встановлення.
- Проскануйте систему перед тим, як відновлювати або повторно запускати інсталятор. Stealer може вкрасти дані навіть тоді, коли видимий файл уже видалено.
Якщо файл запускався, не обмежуйтеся видаленням інсталятора. Запустіть повне сканування Gridinsoft Anti-Malware, видаліть знайдене, перезавантажте ПК і повторіть перевірку, якщо сесії браузера, alerts або записи автозапуску повертаються.
Якщо файл запускався, проскануйте ПК після фейкового інсталятора, видаліть знайдене, перезавантажте систему й змінюйте паролі лише з чистого пристрою.
Чому це не просто ще одна назва loader-а
OXLOADER важливий тому, що стоїть перед stealer-ом і намагається виграти час для атаки. Elastic описує зловживання секцією Windows .reloc, обфускацію, anti-sandbox перевірки, DLL side-loading та запуск payload у пам’яті. Для жертви ознака простіша: спонсорована реклама програми і installer, який прийшов не з того джерела, якого ви очікували.
Це близько до інших сценаріїв фейкового завантаження, зокрема підроблених developer-tool сторінок, редиректів до RAT через рекламні ланцюги та інструкцій, що змушують запускати PowerShell. Безпечна звичка однакова: відкривати офіційні домени вручну або з закладок, не ставити runtime-и з реклами та перевіряти файл до запуску.
FAQ
OXLOADER і CastleStealer – це одне й те саме?
Ні. OXLOADER – це loader, який готує запуск. CastleStealer – це інфостілер, який доставляється після ланцюга loader-а.
Чи була фейкова реклама Node.js ще активною?
Elastic повідомила, що рекламодавця та пов’язані кампанії видалили у травні 2026 року. Але сама схема фейкової реклами програм залишається робочою для інших атак.
Чи треба видаляти Node.js?
Ні, легітимний Node.js не є проблемою. Ризик у фейковому рекламному результаті або lookalike-інсталяторі. Перевірте джерело, історію файлу та alerts навколо встановлення.
Що робити, якщо паролі були збережені в браузері?
Якщо підозрілий installer запускався, вважайте збережені сесії та паролі потенційно скомпрометованими. Змініть паролі з чистого пристрою та відкличте активні сесії.
Джерела
- Elastic Security Labs, Daniel Stepanic and Jia Yu Chan. “Lost in relocation: analysis of a new loader distributing CASTLESTEALER.” Elastic Security Labs, published June 19, 2026; accessed June 22, 2026. https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer
