תוכנה זדונית של CastleLoader

בנוף המתפתח ללא הרף של איומי סייבר, טוען תוכנות זדוניות חדש בשם CastleLoader צץ ככלי משמעותי במאגר של פושעי סייבר. CastleLoader, שזוהה לראשונה בתחילת 2025, צבר תאוצה במהירות בזכות המודולריות שלו, טקטיקות התחמקות מתקדמות ויכולת ההסתגלות שלו. חוקרים הבחינו בתפקידו במספר קמפיינים המפעילים גנבי מידע וסוסים טרויאניים לגישה מרחוק (RATs), מה שהופך אותו לדאגה גוברת במערכת האקולוגית של תוכנות זדוניות כשירות (MaaS).

רב-תכליתיות בפעולה: כלי הפצה רב עוצמה

CastleLoader שימש להעברת מגוון רחב של מטענים זדוניים, כולל:

• גנבי מידע: DeerStealer, RedLine, StealC
• טרויאנים לגישה מרחוק (RATs): NetSupport RAT, SectopRAT

המבנה המודולרי שלו מאפשר ל-CastleLoader לשמש גם כמטען ראשוני וגם כמטען בשלב השני, מה שמאפשר לתוקפים לנתק את וקטור ההדבקה מהמטען. הפרדה זו מסבכת את מאמצי הגילוי והתגובה, ומקשה משמעותית על הייחוס.

ערפול והתחמקות: להישאר צעד אחד קדימה

CastleLoader משתמש במספר טכניקות מתקדמות כדי למנוע גילוי ולעכב ניתוח:

• הזרקת קוד ואריזה מתים כדי לטשטש את הפונקציונליות האמיתית שלו.
• פריקת נתונים בזמן ריצה כדי לעכב את הביצוע עד לאחר התחמקות משכבות הסריקה הראשוניות.
• אמצעים נגד ארגז חול (sandboxing) וערפול, בדומה לטוענים מתוחכמים כמו SmokeLoader ו-IceID.

לאחר הפריצה, המטען פונה לשרת הפיקוד והבקרה (C2) שלו, מוריד מודולים נוספים ומתחיל את ביצועם. המטענים בדרך כלל מסופקים כקבצי הרצה ניידים המוטמעים בקוד מעטפת, אשר מפעיל את שגרות הליבה של המטען.

טקטיקות וטכניקות: הונאה בליבתה

הקמפיינים המשתמשים ב-CastleLoader מסתמכים במידה רבה על הנדסה חברתית, ובפרט:

התקפות פישינג בנושא ClickFix
קורבנות מפותים לדומיינים זדוניים, המתחזים לפלטפורמות שיחות וידאו, עדכוני דפדפן, ספריות מפתחים או פורטלים לאימות מסמכים, דרך תוצאות חיפוש מורעלות של גוגל. דפים אלה מכילים הודעות שגיאה מזויפות או הנחיות CAPTCHA המורות למשתמשים לבצע פקודות PowerShell, ובכך יזמו את ההדבקה מבלי דעת. התקפות ClickFix הפכו לטכניקה נפוצה שאומצה על ידי קבוצות האקרים רבות.

מאגרי GitHub מזויפים
CastleLoader מתפשט גם דרך מאגרים המחקים כלי קוד פתוח לגיטימיים. מפתחים תמימים עלולים להריץ סקריפטי התקנה שנראים אמינים ממאגרים אלה, ובכך להדביק את המערכות שלהם מבלי משים. טקטיקה זו מנצלת את הלגיטימיות הנתפסת של GitHub ואת האמון הרגיל של מפתחים במאגרים פתוחים.

אסטרטגיות אלו משקפות טכניקות הנפוצות בקרב מתווכי גישה ראשוניים (IABs), ומחזקות את מעמדה של CastleLoader בשרשרת אספקה רחבה יותר של פושעי סייבר.

קמפיינים חופפים והרחבת טווח ההגעה

חוקרים תיעדו שימוש בין-קמפיינים של CastleLoader ו-DeerStealer, וציינו כי כמה גרסאות של Hijack Loader הופצו באמצעות שני הכלים. בעוד שגורמי האיום מאחורי כל קמפיין עשויים להיות שונים, השימוש החופף בכלי הטעינה מצביע על מערכת אקולוגית או מודל שירות משותף בקרב קבוצות פושעי סייבר.

ממאי 2025 ואילך, CastleLoader נצפתה כשהיא משתמשת בשבעה שרתי C2 ייחודיים, עם 1,634 ניסיונות פגיעה שתועדו. מתוך אלה, 469 מכשירים נפגעו בהצלחה, מה שהביא לשיעור הצלחה של 28.7%.

התשתית שמאחורי האיום

תשתית ה-C2 התומכת ב-CastleLoader חזקה במיוחד. הפאנל המקוון המשויך אליה מספק שליטה מרכזית על מערכות נגועות, תוך שילוב תכונות המצויות בפלטפורמות של תוכנות זדוניות כשירות. עובדה זו מצביעה על פעילות מנוסה ומאורגנת העומדת מאחורי הפיתוח והפריסה של ה-loader.

נקודות מפתח: האיום הגובר של CastleLoader

CastleLoader הוא לא רק טוען, הוא מאפשר אסטרטגי של קמפיינים רחבים יותר של תוכנות זדוניות.

העיצוב המודולרי שלו, תכונות האנטי-אנליזה וטקטיקות האספקה המגוונות שלו הופכים אותו לכלי מעולה עבור גורמי איום המחפשים גמישות וחמקנות.

על ידי ניצול לרעה של פלטפורמות מהימנות כמו GitHub וניצול התנהגות משתמשים באמצעות הנדסה חברתית, CastleLoader מדגיש את הצורך בערנות משופרת ובאסטרטגיות הגנה הן בסביבות ארגוניות והן בסביבות מפתחים.

ככל שאיום זה ממשיך להתפתח, על המגנים להישאר ערניים לטקטיקות חדשות ולחזק את ההגנות מפני גורמים הפועלים מאחורי הקלעים כדי להניע פשעי סייבר בקנה מידה גדול.