برنامج CastleLoader الخبيث
في ظلّ تطوّر التهديدات الإلكترونية بشكل مستمر، برز مُحمّل برمجيات خبيثة جديد يُدعى CastleLoader كأداة فعّالة في ترسانات مجرمي الإنترنت. اكتُشف CastleLoader لأول مرة في أوائل عام 2025، وسرعان ما اكتسب زخمًا بفضل قابليته للتكيّف، وأساليبه المتطورة في التهرّب، وقدرته على التكيّف. وقد لاحظ الباحثون دوره في حملات متعددة تستخدم سارقي المعلومات وأحصنة طروادة للوصول عن بُعد (RATs)، مما يجعله مصدر قلق متزايد في منظومة البرمجيات الخبيثة كخدمة (MaaS).
جدول المحتويات
التنوع في العمل: أداة توزيع قوية
تم استخدام CastleLoader لتوصيل مجموعة واسعة من الحمولات الضارة، بما في ذلك:
- سارقو المعلومات: DeerStealer، RedLine، StealC
- أحصنة طروادة للوصول عن بعد (RATs): NetSupport RAT، SectopRAT
يسمح هيكل CastleLoader المعياري بالعمل كمُحمّل أولي ومُحمّل للمرحلة الثانية، مما يُمكّن المهاجمين من فصل ناقل العدوى عن الحمولة. يُعقّد هذا الفصل جهود الكشف والاستجابة، مما يُصعّب تحديد المصدر بشكل كبير.
التعتيم والتهرب: البقاء متقدمًا بخطوة واحدة
يستخدم CastleLoader العديد من التقنيات المتقدمة لتجنب الاكتشاف وإعاقة التحليل:
- حقن الكود الميت وتعبئته لإخفاء وظيفته الحقيقية.
- تفريغ وقت التشغيل لتأخير التنفيذ حتى بعد التهرب من طبقات المسح الأولية.
- إجراءات مكافحة الحماية والتعتيم، والتي يمكن مقارنتها بأدوات التحميل المتطورة مثل SmokeLoader وIceID.
بعد فكّ الحزمة، يتصل المُحمِّل بخادم القيادة والتحكم (C2) الخاص به، ويُنزِّل وحدات إضافية، ويبدأ تنفيذها. عادةً ما تُسلَّم الحمولات كملفات قابلة للتنفيذ محمولة مُضمَّنة مع شفرة شل، والتي تُشغِّل إجراءات المُحمِّل الأساسية.
التكتيكات والتقنيات: الخداع في جوهره
تعتمد الحملات التي تستخدم CastleLoader بشكل كبير على الهندسة الاجتماعية، وخاصةً:
هجمات التصيد الاحتيالي باستخدام ClickFix
يتم استدراج الضحايا إلى مواقع خبيثة، متخفية في شكل منصات لمؤتمرات الفيديو، أو تحديثات للمتصفحات، أو مكتبات للمطورين، أو بوابات للتحقق من المستندات، من خلال نتائج بحث جوجل مزيفة. تحتوي هذه الصفحات على رسائل خطأ مزيفة أو مطالبات CAPTCHA تُلزم المستخدمين بتنفيذ أوامر PowerShell، مما يُؤدي إلى بدء العدوى دون علمهم. أصبحت هجمات ClickFix تقنية شائعة الاستخدام لدى العديد من مجموعات القراصنة.
مستودعات GitHub المزيفة
ينتشر CastleLoader أيضًا عبر مستودعات تُحاكي أدوات مفتوحة المصدر شرعية. قد يُشغّل مطورون غير مُدركين نصوص تثبيت تبدو موثوقة من هذه المستودعات، مُصيبين أنظمتهم دون قصد. يستغل هذا التكتيك الشرعية المُفترضة لـ GitHub وثقة المطورين المُعتادة بالمستودعات المفتوحة.
تعكس هذه الاستراتيجيات التقنيات التي يستخدمها عادةً وسطاء الوصول الأولي (IABs)، مما يعزز موقف CastleLoader ضمن سلسلة توريد أوسع نطاقًا للمجرمين الإلكترونيين.
الحملات المتداخلة وتوسيع النطاق
وثّق الباحثون استخدام CastleLoader وDeerStealer عبر حملات متعددة، مشيرين إلى أن بعض إصدارات Hijack Loader قد تم نشرها عبر كلتا الأداتين. ورغم اختلاف الجهات الفاعلة المسؤولة عن كل حملة، إلا أن تداخل استخدام أدوات التحميل يشير إلى وجود نظام بيئي مشترك أو نموذج خدمة مشترك بين مجموعات مجرمي الإنترنت.
منذ مايو 2025، لوحظ استخدام CastleLoader لسبعة خوادم قيادة وتحكم فريدة، مع تسجيل 1634 محاولة إصابة. من بين هذه المحاولات، تم اختراق 469 جهازًا بنجاح، مما أدى إلى معدل إصابة ناجح بنسبة 28.7%.
البنية التحتية وراء التهديد
تتميز البنية التحتية C2 التي تدعم CastleLoader بمتانتها الملحوظة. توفر لوحة التحكم المرتبطة بها، والمبنية على الويب، تحكمًا مركزيًا في الأنظمة المصابة، مما يُحاكي الميزات الموجودة في منصات البرمجيات الخبيثة كخدمة. وهذا يُشير إلى عملية مُحكمة ومنظمة وراء تطوير المُحمّل ونشره.
النقاط الرئيسية: التهديد المتزايد الذي يشكله CastleLoader
CastleLoader ليس مجرد أداة تحميل، بل هو أداة تمكين استراتيجية لحملات البرامج الضارة على نطاق أوسع.
إن تصميمها المعياري وميزاتها المضادة للتحليل وتكتيكات التسليم المتنوعة تجعلها أداة رئيسية للجهات الفاعلة في مجال التهديد التي تسعى إلى المرونة والتخفي.
من خلال إساءة استخدام المنصات الموثوقة مثل GitHub واستغلال سلوك المستخدم من خلال الهندسة الاجتماعية، يؤكد CastleLoader على الحاجة إلى تعزيز اليقظة والاستراتيجيات الدفاعية في بيئات المؤسسات والمطورين على حد سواء.
ومع استمرار تطور هذا التهديد، يتعين على المدافعين أن يظلوا متيقظين للتكتيكات الجديدة وتعزيز الدفاعات ضد المتسللين الذين يعملون خلف الكواليس لتشغيل الجرائم الإلكترونية واسعة النطاق.
