黑客冒充GoogleAds中的Node.js安装程序来部署信息窃取恶意软件

admin
admin
admin
0
文章
0
评论
2026-06-26 09:03:14 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 黑客通过谷歌广告冒充Node.js安装程序分发新型OxLoader恶意加载器,利用合法云存储服务绕过检测,最终部署CastleStealer信息窃取程序。该攻击针对美国Windows用户,通过虚假安装界面诱导点击,并采用沙箱检测、代码混淆等技术规避分析。安全团队需警惕开发者工具广告,启用终端行为检测并验证官方下载源。 综合评分: 80 文章分类: 恶意软件,威胁情报,应用安全,终端安全,云安全

cover_image

黑客冒充 Google Ads 中的 Node.js 安装程序来部署信息窃取恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月22日 19:24 北京

在小说阅读器读本章

去阅读

黑客利用虚假的谷歌广告来推送一种全新的恶意软件加载器,该加载器伪装成流行的 Node.js 安装程序。

该活动一直积极针对美国的 Windows 用户,只需点击一次看似合法的赞助搜索结果,就会悄悄地将危险的信息窃取程序植入他们的电脑。

此次攻击利用了数百万用户每天都会做的一件事:在线搜索软件并信任搜索结果排名靠前的部分。攻击者搭建了一个恶意登录页面,使其看起来像是官方的Node.js平台。

当受害者点击赞助广告时,他们会被悄悄地通过中间域名重定向到合法的云文件共享服务,下载托管在云文件共享服务上的恶意 Windows 批处理脚本,这使得安全工具更难将其标记出来。

Elastic Security Labs 的研究人员发现了这一活跃的网络攻击活动,并确认其目标是他们自己的一位客户。

Elastic Security Labs 在一份与网络安全新闻 (CSN) 分享的报告中表示,该加载器(现名为 OXLOADER)此前未曾公开记录,并且在静态防病毒引擎和自动化沙箱环境中的检测率都非常低。

该活动通过谷歌广告进行,恶意广告商账户注册时使用了与乌克兰相关的已验证姓名。

该广告最后一次出现是在 2026 年 4 月 23 日,到 2026 年 5 月 14 日,谷歌已完全删除了该广告商及其所有相关广告系列。

此次攻击尤其令人担忧的是,攻击者能够如此无缝地融入受信任的平台,在不引起警报的情况下投放恶意载荷。

通过该链传递的最终有效载荷是一个名为 CASTLESTEALER 的信息窃取程序,它是一种基于 .NET 的恶意软件,能够从受感染的系统中窃取敏感数据。

安全团队应格外谨慎地对待开发者工具的赞助搜索结果,确保终端行为检测处于激活状态,而不是仅仅设置为监控模式,并且始终直接在官方供应商网站上验证软件下载。

黑客在谷歌广告中冒充Node.js安装程序

当用户搜索 Node.js 安装程序并点击广告链接时,感染链就开始了。该点击会将受害者引导至一个伪造的登录页面,该页面旨在模仿真实的 Node.js 环境。

从那里,通过中间域重定向,将批处理脚本传递到 Storj,这是一个合法的云存储服务,威胁行为者故意滥用该服务来绕过基于信誉的过滤。

该批处理脚本更进一步,显示了一个逼真的虚假软件安装向导,让受害者没有任何理由怀疑存在任何问题。

在这个界面背后,它会使用 PowerShell 静默下载下一阶段的可执行文件,并触发 Windows 用户账户控制提示以获取提升的系统访问权限。整个过程旨在模拟常规软件安装体验。

2026 年 5 月 13 日,又发现了 OXLOADER 的第二个变种,这次它伪装成 Node.js 安装程序二进制文件而不是 API Monitor,尽管其底层加载机制完全相同。

研究人员注意到,该文件的文件名中保留了“node”一词,这很可能是为了保持该活动一直以来所依赖的诱饵主题。

OXLOADER 如何逃避检测

OXLOADER 的核心功能之一就是规避。在执行任何有意义的操作之前,它会运行五项独立的检查,以确认自身并非运行在沙箱或虚拟机中。

这些检查包括:至少三个 CPU 核心、至少 3 GB 物理内存、20 Hz 以上的显示刷新率,以及验证系统是否位于独联体地区或配置为俄语。

该加载器还使用了复杂的混淆技术,可以破坏标准的二进制分析工具,使逆向工程变得缓慢而困难。

它将恶意代码隐藏在 Windows 的 .reloc 段中,而合法程序永远不会使用该段来存放可执行指令,并且它使用自修改解密例程将自身解包到内存中。

最终的有效载荷 CASTLESTEALER 完全通过名为 DonutLoader 的开源 shellcode 生成器在内存中交付,几乎不会在磁盘上留下任何痕迹。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《黑客冒充 Google Ads 中的 Node.js 安装程序来部署信息窃取恶意软件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0