Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер CastleLoader

Зловреден софтуер CastleLoader

До Mezo през Зловреден софтуерг
Превод на:

В постоянно развиващия се пейзаж на киберзаплахите, нов зареждащ софтуер, наречен CastleLoader, се очерта като важен инструмент в арсеналите на киберпрестъпниците. Засечен за първи път в началото на 2025 г., CastleLoader бързо набра популярност благодарение на своята модулност, усъвършенствани тактики за избягване и адаптивност. Изследователите са наблюдавали ролята му в множество кампании, които използват крадци на информация и троянски коне за отдалечен достъп (RAT), което го прави нарастващ проблем в екосистемата „злонамерен софтуер като услуга“ (MaaS).

Универсалност в действие: Мощен инструмент за дистрибуция

CastleLoader е използван за доставяне на широк спектър от злонамерени полезни товари, включително:

  • Крадци на информация: DeerStealer, RedLine, StealC
  • Троянски коне за отдалечен достъп (RAT): NetSupport RAT, SectopRAT

Модулната му структура позволява на CastleLoader да служи едновременно като първоначален dropper и като вторичен loader, което позволява на атакуващите да отделят вектора на инфекцията от полезния товар. Това разделяне усложнява усилията за откриване и реагиране, което значително затруднява атрибуцията.

Замъгляване и укриване: Да бъдеш с една крачка напред

CastleLoader използва няколко усъвършенствани техники, за да избегне откриването и да възпрепятства анализа:

  • Инжектиране и пакетиране на мъртъв код, за да се скрие истинската му функционалност.
  • Разпакиране по време на изпълнение, за да се забави изпълнението, докато не се избегнат първоначалните слоеве на сканиране.
  • Мерки против пясъчник и обфускация, сравними със сложни зареждащи програми като SmokeLoader и IceID.

След разопаковане, зареждащата програма се свързва със своя команден и контролен (C2) сървър, изтегля допълнителни модули и инициира тяхното изпълнение. Полезните товари обикновено се доставят като преносими изпълними файлове, вградени с шелкод, който стартира основните процедури на зареждащата програма.

Тактики и техники: Измамата в основата си

Кампаниите, използващи CastleLoader, силно разчитат на социално инженерство, по-специално:

Фишинг атаки, свързани с ClickFix
Жертвите биват примамвани към злонамерени домейни, маскирани като платформи за видеоконферентна връзка, актуализации на браузъри, библиотеки за разработчици или портали за проверка на документи, чрез отровени резултати от търсенето в Google. Тези страници съдържат фалшиви съобщения за грешки или CAPTCHA подкани, които инструктират потребителите да изпълняват PowerShell команди, несъзнателно инициирайки инфекцията. Атаките ClickFix са се превърнали в широко разпространена техника, възприета от множество хакерски групи.

Фалшиви хранилища на GitHub
CastleLoader се разпространява и чрез хранилища, които имитират легитимни инструменти с отворен код. Нищо неподозиращи разработчици могат да стартират привидно надеждни инсталационни скриптове от тези хранилища, като неволно заразяват системите си. Тази тактика се възползва от възприеманата легитимност на GitHub и обичайното доверие на разработчиците в отворените хранилища.

Тези стратегии отразяват техники, често използвани от брокерите за първоначален достъп (IAB), засилвайки позицията на CastleLoader в по-широка верига за доставки на киберпрестъпници.

Припокриващи се кампании и разширяване на обхвата

Изследователи са документирали използването на CastleLoader и DeerStealer в различни кампании, отбелязвайки, че някои варианти на Hijack Loader са били доставяни и чрез двата инструмента. Въпреки че хакерите зад всяка кампания може да се различават, припокриващото се използване на зареждащи програми показва споделена екосистема или модел на услуги сред киберпрестъпните групи.

От май 2025 г. нататък е наблюдавано, че CastleLoader използва седем уникални C2 сървъра, като са регистрирани 1634 опита за заразяване. От тях 469 устройства са били успешно компрометирани, което води до процент на успеваемост на заразяването от 28,7%.

Инфраструктурата зад заплахата

C2 инфраструктурата, поддържаща CastleLoader, е забележително стабилна. Свързаният с нея уеб-базиран панел осигурява централизиран контрол над заразените системи, наподобявайки функции, открити в платформи за злонамерен софтуер като услуга. Това показва опитна и организирана операция зад разработването и внедряването на зареждащия механизъм.

Ключови изводи: Нарастващата заплаха на CastleLoader

CastleLoader не е просто програма за зареждане, а стратегически инструмент за по-широки кампании срещу зловреден софтуер.

Модулният му дизайн, функциите против анализ и разнообразните тактики за доставка го правят основен инструмент за злонамерените лица, търсещи гъвкавост и скритост.

Чрез злоупотреба с надеждни платформи като GitHub и експлоатиране на потребителското поведение чрез социално инженерство, CastleLoader подчертава необходимостта от повишена бдителност и защитни стратегии както в корпоративна, така и в разработческа среда.

Тъй като тази заплаха продължава да се развива, защитниците трябва да бъдат нащрек за нови тактики и да засилят защитата срещу злонамерени лица, които действат зад кулисите, за да задвижват мащабни киберпрестъпления.

 

Тенденция

Най-гледан

Зловреден софтуер

Фишинг, Спам
35,931
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...