Malware CastleLoader
V neustále se vyvíjející krajině kybernetických hrozeb se nový zavaděč malwaru s názvem CastleLoader stal významným nástrojem v arzenálu kyberzločinců. CastleLoader, poprvé odhalený začátkem roku 2025, si rychle získal na popularitě díky své modularitě, pokročilým taktikám úniku a přizpůsobivosti. Výzkumníci pozorovali jeho roli v řadě kampaní, které nasazují programy pro krádeže informací a trojské koně pro vzdálený přístup (RAT), což z něj činí rostoucí problém v ekosystému malwaru jako služby (MaaS).
Obsah
Všestrannost v akci: Výkonný distribuční nástroj
CastleLoader byl použit k doručování široké škály škodlivých dat, včetně:
- Zloději informací: DeerStealer, RedLine, StealC
- Trojanské koně pro vzdálený přístup (RAT): NetSupport RAT, SectopRAT
Jeho modulární struktura umožňuje CastleLoaderu sloužit jak jako počáteční zaváděč, tak jako zavaděč druhé fáze, což útočníkům umožňuje oddělit vektor infekce od datové části. Toto oddělení komplikuje detekci a reakci, což výrazně ztěžuje atribuci.
Zamlžování a únik: Být o krok napřed
CastleLoader používá několik pokročilých technik, aby se zabránilo detekci a ztížil analýzu:
- Vkládání a zabalování mrtvého kódu za účelem zakrytí jeho skutečné funkčnosti.
- Rozbalování za běhu pro zpoždění spuštění až po vyhnutí se počátečním vrstvám skenování.
- Opatření proti sandboxování a obfuskace, srovnatelné se sofistikovanými zavaděči jako SmokeLoader a IceID.
Po rozbalení se zavaděč spojí se svým serverem Command-and-Control (C2), stáhne další moduly a zahájí jejich spuštění. Datové soubory jsou obvykle dodávány jako přenositelné spustitelné soubory s vloženým shellcode, který spouští základní rutiny zavaděče.
Taktiky a techniky: Podvod v jádru
Kampaně využívající CastleLoader se silně spoléhají na sociální inženýrství, zejména:
Phishingové útoky s motivem ClickFixu
Oběti jsou lákány na škodlivé domény, které se maskují jako platformy pro videokonference, aktualizace prohlížečů, knihovny pro vývojáře nebo portály pro ověřování dokumentů, prostřednictvím zavádějících výsledků vyhledávání Google. Tyto stránky obsahují falešné chybové zprávy nebo výzvy CAPTCHA, které uživatele instruují k provedení příkazů PowerShellu, čímž nevědomky spouštějí infekci. Útoky ClickFix se staly rozšířenou technikou, kterou používá řada hackerských skupin.
Falešné repozitáře GitHubu
CastleLoader se také šíří prostřednictvím repozitářů, které napodobují legitimní open-source nástroje. Nic netušící vývojáři mohou z těchto repozitářů spouštět zdánlivě důvěryhodné instalační skripty a nevědomky tak infikovat své systémy. Tato taktika těží z vnímané legitimity GitHubu a obvyklé důvěry vývojářů v otevřené repozitáře.
Tyto strategie odrážejí techniky běžně používané zprostředkovateli počátečního přístupu (IAB) a posilují pozici CastleLoaderu v rámci širšího dodavatelského řetězce kyberzločinců.
Překrývající se kampaně a rozšiřování dosahu
Výzkumníci zdokumentovali používání nástrojů CastleLoader a DeerStealer v rámci různých kampaní a poznamenali, že některé varianty Hijack Loaderu byly doručovány prostřednictvím obou nástrojů. I když se aktéři útoků stojící za jednotlivými kampaněmi mohou lišit, překrývající se používání zavaděčů naznačuje sdílený ekosystém nebo model služeb mezi kyberzločineckými skupinami.
Od května 2025 byl CastleLoader pozorován při používání sedmi unikátních serverů C2, přičemž bylo zaznamenáno 1 634 pokusů o infekci. Z nich bylo 469 zařízení úspěšně napadeno, což představuje míru úspěšnosti infekce 28,7 %.
Infrastruktura stojící za hrozbou
Infrastruktura C2 podporující CastleLoader je pozoruhodně robustní. Její přidružený webový panel poskytuje centralizovanou kontrolu nad infikovanými systémy a odráží funkce nalezené v platformách malware-as-a-service. To svědčí o zkušeném a organizovaném provozu, který stojí za vývojem a nasazením zavaděče.
Klíčové poznatky: Rostoucí hrozba ze strany CastleLoaderu
CastleLoader není jen zavaděč, je to strategický nástroj pro širší malwarové kampaně.
Jeho modulární design, antianalytické funkce a rozmanité taktiky doručování z něj činí hlavní nástroj pro útočníky hledající flexibilitu a nenápadnost.
Zneužíváním důvěryhodných platforem, jako je GitHub, a využíváním chování uživatelů prostřednictvím sociálního inženýrství CastleLoader zdůrazňuje potřebu zvýšené ostražitosti a obranných strategií v podnikovém i vývojářském prostředí.
Vzhledem k tomu, že se tato hrozba neustále vyvíjí, musí obránci zůstat ostražití vůči novým taktikám a posilovat obranu proti útočníkům, kteří působí v zákulisí a podporují rozsáhlou kyberkriminalitu.
