CastleLoader Malware

साइबर खतरों के निरंतर विकसित होते परिदृश्य में, कैसललोडर नामक एक नया मैलवेयर लोडर साइबर अपराधियों के शस्त्रागार में एक महत्वपूर्ण उपकरण के रूप में उभरा है। 2025 की शुरुआत में पहली बार पता चला, कैसललोडर ने अपनी मॉड्यूलरिटी, उन्नत बचाव रणनीतियों और अनुकूलनशीलता के कारण तेज़ी से लोकप्रियता हासिल की है। शोधकर्ताओं ने सूचना चुराने वाले और रिमोट एक्सेस ट्रोजन (RAT) तैनात करने वाले कई अभियानों में इसकी भूमिका देखी है, जिससे यह मैलवेयर-एज़-ए-सर्विस (MaaS) पारिस्थितिकी तंत्र में एक बढ़ती हुई चिंता का विषय बन गया है।

क्रिया में बहुमुखी प्रतिभा: एक शक्तिशाली वितरण उपकरण

कैसललोडर का उपयोग कई प्रकार के दुर्भावनापूर्ण पेलोड वितरित करने के लिए किया गया है, जिनमें शामिल हैं:

• सूचना चुराने वाले: डियरस्टीलर, रेडलाइन, स्टीलसी
• रिमोट एक्सेस ट्रोजन (RAT): नेटसपोर्ट RAT, सेक्टोप्रैट

इसकी मॉड्यूलर संरचना कैसललोडर को एक प्रारंभिक ड्रॉपर और दूसरे चरण के लोडर, दोनों के रूप में काम करने की अनुमति देती है, जिससे हमलावरों को संक्रमण वेक्टर को पेलोड से अलग करने में मदद मिलती है। यह पृथक्करण पता लगाने और प्रतिक्रिया के प्रयासों को जटिल बनाता है, जिससे ज़िम्मेदारी तय करना और भी मुश्किल हो जाता है।

अस्पष्टता और टालमटोल: एक कदम आगे रहना

कैसललोडर पता लगाने से बचने और विश्लेषण में बाधा डालने के लिए कई उन्नत तकनीकों का उपयोग करता है:

• मृत कोड इंजेक्शन और पैकिंग इसकी वास्तविक कार्यक्षमता को अस्पष्ट करने के लिए।
• प्रारंभिक स्कैनिंग परतों से बचने के बाद तक निष्पादन में देरी करने के लिए रनटाइम अनपैकिंग।
• एंटी-सैंडबॉक्सिंग उपाय और अस्पष्टीकरण, स्मोकलोडर और आइसआईडी जैसे परिष्कृत लोडरों के बराबर।

एक बार अनपैक होने के बाद, लोडर अपने कमांड-एंड-कंट्रोल (C2) सर्वर तक पहुँचता है, अतिरिक्त मॉड्यूल डाउनलोड करता है और उनका निष्पादन शुरू करता है। पेलोड आमतौर पर पोर्टेबल एक्ज़ीक्यूटेबल के रूप में वितरित किए जाते हैं जिनमें शेलकोड एम्बेडेड होता है, जो लोडर के मुख्य रूटीन को लॉन्च करता है।

रणनीतियाँ और तकनीकें: इसके मूल में धोखा

कैसललोडर का उपयोग करने वाले अभियान सामाजिक इंजीनियरिंग पर बहुत अधिक निर्भर करते हैं, विशेष रूप से:

क्लिकफिक्स-थीम वाले फ़िशिंग हमले
वीडियो कॉन्फ्रेंसिंग प्लेटफ़ॉर्म, ब्राउज़र अपडेट, डेवलपर लाइब्रेरी या दस्तावेज़ सत्यापन पोर्टल जैसे छद्म रूप से, Google के ज़हरीले खोज परिणामों के ज़रिए पीड़ितों को दुर्भावनापूर्ण डोमेन की ओर आकर्षित किया जाता है। इन पृष्ठों में नकली त्रुटि संदेश या कैप्चा संकेत होते हैं जो उपयोगकर्ताओं को पावरशेल कमांड निष्पादित करने का निर्देश देते हैं, जिससे अनजाने में संक्रमण शुरू हो जाता है। ClickFix हमले कई हैकर समूहों द्वारा अपनाई जाने वाली एक व्यापक तकनीक बन गए हैं।

नकली GitHub रिपॉजिटरीज़
कैसललोडर उन रिपॉजिटरीज़ के ज़रिए भी फैलता है जो वैध ओपन-सोर्स टूल्स की नकल करते हैं। अनजान डेवलपर इन रिपॉजिटरीज़ से भरोसेमंद लगने वाली इंस्टॉलेशन स्क्रिप्ट चला सकते हैं, जिससे अनजाने में उनके सिस्टम संक्रमित हो सकते हैं। यह रणनीति GitHub की कथित वैधता और ओपन रिपॉजिटरीज़ में डेवलपर्स के आदतन भरोसे का फायदा उठाती है।

ये रणनीतियाँ प्रारंभिक एक्सेस ब्रोकर्स (IABs) द्वारा सामान्यतः उपयोग की जाने वाली तकनीकों को प्रतिबिंबित करती हैं, जो व्यापक साइबर अपराधी आपूर्ति श्रृंखला के भीतर कैसललोडर की स्थिति को मजबूत करती हैं।

ओवरलैपिंग अभियान और विस्तारित पहुंच

शोधकर्ताओं ने कैसललोडर और डियरस्टीलर के क्रॉस-कैंपेन उपयोग का दस्तावेजीकरण किया है, और पाया है कि हाईजैक लोडर के कुछ वेरिएंट दोनों टूल्स के ज़रिए वितरित किए गए थे। हालाँकि प्रत्येक अभियान के पीछे के ख़तरा अलग-अलग हो सकते हैं, लेकिन लोडर का अतिव्यापी उपयोग साइबर अपराधी समूहों के बीच एक साझा पारिस्थितिकी तंत्र या सेवा मॉडल का संकेत देता है।

मई 2025 से, CastleLoader को सात विशिष्ट C2 सर्वरों का उपयोग करते हुए देखा गया है, जिनमें 1,634 संक्रमण प्रयास दर्ज किए गए हैं। इनमें से 469 उपकरणों को सफलतापूर्वक संक्रमित किया गया, जिसके परिणामस्वरूप संक्रमण की सफलता दर 28.7% रही।

खतरे के पीछे का बुनियादी ढांचा

कैसललोडर को सपोर्ट करने वाला C2 इन्फ्रास्ट्रक्चर बेहद मज़बूत है। इसका संबद्ध वेब-आधारित पैनल संक्रमित सिस्टम पर केंद्रीकृत नियंत्रण प्रदान करता है, जो मैलवेयर-एज़-ए-सर्विस प्लेटफ़ॉर्म में पाई जाने वाली सुविधाओं की याद दिलाता है। यह लोडर के विकास और परिनियोजन के पीछे एक अनुभवी और संगठित संचालन की ओर इशारा करता है।

मुख्य बातें: कैसललोडर का बढ़ता खतरा

कैसललोडर सिर्फ एक लोडर नहीं है, यह व्यापक मैलवेयर अभियानों का एक रणनीतिक प्रवर्तक है।

इसका मॉड्यूलर डिजाइन, एंटी-एनालिसिस विशेषताएं और विविध वितरण रणनीतियां इसे लचीलापन और गुप्तता चाहने वाले खतरे पैदा करने वालों के लिए एक प्रमुख उपकरण बनाती हैं।

GitHub जैसे विश्वसनीय प्लेटफार्मों का दुरुपयोग करके और सोशल इंजीनियरिंग के माध्यम से उपयोगकर्ता व्यवहार का शोषण करके, CastleLoader उद्यम और डेवलपर दोनों वातावरणों में बढ़ी हुई सतर्कता और रक्षात्मक रणनीतियों की आवश्यकता को रेखांकित करता है।

चूंकि यह खतरा लगातार विकसित हो रहा है, इसलिए बचावकर्ताओं को नई रणनीतियों के प्रति सतर्क रहना होगा तथा बड़े पैमाने पर साइबर अपराध को बढ़ावा देने के लिए पर्दे के पीछे से काम करने वाले लोडरों के खिलाफ सुरक्षा को मजबूत करना होगा।