OXLOADER-Malware: Gefälschte Google Ads ködern Node.js-Entwickler

Eine bislang unbekannte Malware-Kampagne lockt Entwickler mit manipulierten Google-Anzeigen in die Falle. Im Visier: Nutzer, die nach Node.js-Tools suchen.

Sicherheitsforscher haben eine hochentwickelte Cyberattacke aufgedeckt, die gezielt Windows-Anwender in den USA ins Visier nimmt. Die Täter nutzen gefälschte Google Ads, um eine bisher unbekannte Schadsoftware namens OXLOADER zu verbreiten. Das berichten Experten von Elastic Security Labs im Juni 2026.

Infektionskette über manipulierte Werbung

Anzeige: Wer als Node.js-Entwickler regelmäßig Tools herunterlädt, sollte die aktuelle OXLOADER-Kampagne kennen. Gefälschte Google Ads schleusen den Datendieb CASTLESTEALER ein – oft unerkannt von Virenscannern. Dieser Leitfaden zeigt, wie Sie sich mit fünf einfachen Checks schützen. Sicherheitsleitfaden jetzt kostenlos anfordern

Die Kampagne setzt auf sogenanntes Malvertising – bösartige Werbeanzeigen, die Entwickler und IT-Profis ködern. Wer bei Google nach Node.js sucht, bekommt eine seriös wirkende Anzeige präsentiert. Der Klick führt jedoch nicht zum offiziellen Installer, sondern zu einer gefälschten Downloadseite.

Die Infektion startet mit einem Batch-Skript, das auf der dezentralen Speicherplattform Storj liegt. Über PowerShell lädt das Skript den neuen Windows-Loader OXLOADER nach. Dieser schleust dann die zweite Schadkomponente CASTLESTEALER ein. Im letzten Schritt nutzt die Malware DonutLoader, um den .NET-basierten Datendieb direkt im Arbeitsspeicher auszuführen – eine Technik, die klassische Virenscanner umgeht.

Fünf Sicherheitschecks vor dem Angriff

OXLOADER zeigt bemerkenswerte technische Raffinesse. Bevor die Infektion fortschreitet, führt die Malware fünf verschiedene Prüfungen durch. Sie analysiert die Hardware des Zielsystems: Anzahl der CPU-Kerne, verfügbaren Arbeitsspeicher und sogar die Bildwiederholfrequenz des Monitors.

Zudem verfügt der Schädling über geografische und sprachliche Filter. Erkennt OXLOADER, dass das System in den GUS-Staaten läuft oder die Systemsprache auf Russisch eingestellt ist, bricht der Angriff sofort ab.

Die Entwickler haben mehrere Verschleierungstechniken eingebaut, um die Analyse zu erschweren. Dazu gehören Kontrollfluss-Verschleierung, undurchsichtige Prädikate und selbstmodifizierende Code-Stücke. Die Malware nutzt zudem den .reloc-Abschnitt ihrer Binärdatei für Shellcode – mit Erfolg: Die Erkennungsrate bei Standard-Antivirenlösungen war zu Jahresbeginn gering.

Täter im Visier – Google reagiert

Anzeige: CASTLESTEALER stiehlt Zugangsdaten direkt aus dem Arbeitsspeicher – klassische Antivirensoftware erkennt ihn nicht. Die Täter nutzen verifizierte Google-Advertiser-Konten, um seriöse Node.js-Installer vorzutäuschen. Erfahren Sie in diesem Report, wie Sie die Malware anhand von CPU-Kernen, Arbeitsspeicher und Bildwiederholfrequenz enttarnen. Malware-Erkennungs-Guide jetzt sichern

Die betrügerischen Anzeigen wurden über einen verifizierten Google-Advertiser-Account geschaltet, der auf einen Namen aus der Ukraine registriert war. Die technischen Merkmale der Kampagne deuten jedoch auf einen finanziell motivierten, russischsprachigen Angreifer hin.

Google hat bereits im Frühjahr Gegenmaßnahmen ergriffen. Die letzte bekannte schädliche Anzeige wurde am 23. April 2026 ausgeliefert. Am 14. Mai 2026 entfernte die Plattform das zugehörige Werbekonto.

Das eigentliche Ziel der Kampagne ist der Diebstahl sensibler Daten. Der finale Schädling CASTLESTEALER ist darauf spezialisiert, Zugangsdaten und andere wertvolle Informationen von kompromittierten Windows-Systemen zu stehlen. Sicherheitsexperten raten Entwicklern, Download-Quellen genau zu prüfen und bei gesponserten Suchergebnissen für Open-Source-Software besonders wachsam zu sein.

de | wissenschaft | 69601876 |