قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار CastleLoader

بدافزار CastleLoader

تا Mezo در بدافزار
ترجمه به:

در چشم‌انداز همواره در حال تکامل تهدیدات سایبری، یک بارگذار بدافزار جدید به نام CastleLoader به عنوان ابزاری مهم در زرادخانه‌های مجرمان سایبری ظهور کرده است. CastleLoader که اولین بار در اوایل سال 2025 شناسایی شد، به دلیل ماژولار بودن، تاکتیک‌های پیشرفته فرار و سازگاری خود به سرعت مورد توجه قرار گرفته است. محققان نقش آن را در چندین کمپین که سارقان اطلاعات و تروجان‌های دسترسی از راه دور (RAT) را مستقر می‌کنند، مشاهده کرده‌اند و این امر آن را به نگرانی فزاینده‌ای در اکوسیستم بدافزار به عنوان سرویس (MaaS) تبدیل کرده است.

تطبیق‌پذیری در عمل: یک ابزار توزیع قدرتمند

CastleLoader برای ارائه طیف گسترده‌ای از بارهای مخرب، از جمله موارد زیر، مورد استفاده قرار گرفته است:

  • سارقان اطلاعات: DeerStealer، RedLine، StealC
  • تروجان‌های دسترسی از راه دور (RAT): NetSupport RAT، SectopRAT

ساختار ماژولار CastleLoader به آن اجازه می‌دهد تا هم به عنوان یک دراپر اولیه و هم به عنوان یک لودر مرحله دوم عمل کند و به مهاجمان این امکان را می‌دهد که بردار آلودگی را از بار داده جدا کنند. این جداسازی، تلاش‌های تشخیص و پاسخ را پیچیده می‌کند و انتساب را به طور قابل توجهی دشوارتر می‌سازد.

مبهم‌سازی و طفره رفتن: یک قدم جلوتر ماندن

CastleLoader از چندین تکنیک پیشرفته برای جلوگیری از شناسایی و جلوگیری از تجزیه و تحلیل استفاده می‌کند:

  • تزریق کد بی‌فایده و بسته‌بندی آن برای پنهان کردن عملکرد واقعی آن.
  • باز کردن فایل در زمان اجرا برای به تأخیر انداختن اجرا تا پس از فرار از لایه‌های اسکن اولیه.
  • اقدامات ضد سندباکس و مبهم‌سازی، قابل مقایسه با لودرهای پیشرفته‌ای مانند SmokeLoader و IceID.

پس از باز شدن، لودر به سرور فرماندهی و کنترل (C2) خود متصل می‌شود، ماژول‌های اضافی را دانلود می‌کند و اجرای آنها را آغاز می‌کند. این پیلودها معمولاً به صورت فایل‌های اجرایی قابل حمل که با shellcode جاسازی شده‌اند، ارائه می‌شوند که روال‌های اصلی لودر را اجرا می‌کند.

تاکتیک‌ها و تکنیک‌ها: فریب در هسته آن

کمپین‌هایی که از CastleLoader استفاده می‌کنند، به شدت به مهندسی اجتماعی متکی هستند، به ویژه:

حملات فیشینگ با تم ClickFix
قربانیان از طریق نتایج جستجوی گوگل مسموم، به دامنه‌های مخربی که خود را به عنوان پلتفرم‌های کنفرانس ویدیویی، به‌روزرسانی‌های مرورگر، کتابخانه‌های توسعه‌دهندگان یا پورتال‌های تأیید اسناد جا می‌زنند، جذب می‌شوند. این صفحات حاوی پیام‌های خطای جعلی یا درخواست‌های CAPTCHA هستند که به کاربران دستور می‌دهند دستورات PowerShell را اجرا کنند و ناآگاهانه آلودگی را آغاز کنند. حملات ClickFix به یک تکنیک گسترده تبدیل شده است که توسط گروه‌های هکری متعددی مورد استفاده قرار می‌گیرد.

مخازن جعلی گیت‌هاب
CastleLoader همچنین از طریق مخازنی که ابزارهای متن‌باز قانونی را تقلید می‌کنند، پخش می‌شود. توسعه‌دهندگان ناآگاه ممکن است اسکریپت‌های نصب به ظاهر قابل اعتمادی را از این مخازن اجرا کنند و ناخواسته سیستم‌های خود را آلوده کنند. این تاکتیک از مشروعیت درک شده GitHub و اعتماد همیشگی توسعه‌دهندگان به مخازن متن‌باز بهره می‌برد.

این استراتژی‌ها منعکس‌کننده تکنیک‌هایی هستند که معمولاً توسط کارگزاران دسترسی اولیه (IAB) استفاده می‌شوند و موقعیت CastleLoader را در یک زنجیره تأمین گسترده‌تر جرایم سایبری تقویت می‌کنند.

همپوشانی کمپین‌ها و گسترش دسترسی

محققان استفاده‌ی متقابل از CastleLoader و DeerStealer را در کمپین‌های مختلف مستند کرده‌اند و خاطرنشان کرده‌اند که برخی از انواع Hijack Loader از طریق هر دو ابزار ارائه شده‌اند. در حالی که ممکن است عوامل تهدید پشت هر کمپین متفاوت باشند، استفاده‌ی همپوشانی از لودرها نشان دهنده‌ی یک اکوسیستم یا مدل سرویس مشترک در بین گروه‌های مجرمان سایبری است.

از ماه مه ۲۰۲۵ به بعد، مشاهده شده است که CastleLoader از هفت سرور C2 منحصر به فرد استفاده می‌کند و ۱۶۳۴ تلاش برای آلوده‌سازی ثبت شده است. از این تعداد، ۴۶۹ دستگاه با موفقیت به خطر افتاده‌اند که منجر به نرخ موفقیت آلوده‌سازی ۲۸.۷٪ شده است.

زیرساخت پشت تهدید

زیرساخت C2 که از CastleLoader پشتیبانی می‌کند، به‌طور قابل‌توجهی قوی است. پنل مبتنی بر وب مرتبط با آن، کنترل متمرکز بر سیستم‌های آلوده را فراهم می‌کند و ویژگی‌های موجود در پلتفرم‌های بدافزار به عنوان سرویس را تکرار می‌کند. این موضوع به یک عملیات باتجربه و سازمان‌یافته در پشت توسعه و استقرار این لودر اشاره دارد.

نکات کلیدی: تهدید رو به رشد CastleLoader

CastleLoader فقط یک لودر نیست، بلکه یک ابزار استراتژیک برای کمپین‌های بدافزاری گسترده‌تر است.

طراحی ماژولار، ویژگی‌های ضد تجزیه و تحلیل و تاکتیک‌های متنوع ارائه آن، آن را به ابزاری اصلی برای مهاجمانی تبدیل کرده است که به دنبال انعطاف‌پذیری و پنهان‌کاری هستند.

با سوءاستفاده از پلتفرم‌های معتبری مانند گیت‌هاب و سوءاستفاده از رفتار کاربر از طریق مهندسی اجتماعی، CastleLoader بر نیاز به هوشیاری و استراتژی‌های دفاعی بیشتر در محیط‌های سازمانی و توسعه‌دهندگان تأکید می‌کند.

همزمان با تکامل این تهدید، مدافعان باید نسبت به تاکتیک‌های جدید هوشیار باشند و دفاع در برابر لودرهایی که در پشت صحنه برای تقویت جرایم سایبری در مقیاس بزرگ فعالیت می‌کنند را تقویت کنند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,931
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...