Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver CastleLoader

Zlonamjerni softver CastleLoader

Do Mezo. Malware. godine
Prevedi na:

U stalno promjenjivom krajoliku kibernetičkih prijetnji, novi program za učitavanje zlonamjernog softvera nazvan CastleLoader pojavio se kao značajan alat u arsenalima kibernetičkih kriminalaca. Prvi put otkriven početkom 2025., CastleLoader je brzo stekao popularnost zbog svoje modularnosti, naprednih taktika izbjegavanja i prilagodljivosti. Istraživači su primijetili njegovu ulogu u više kampanja koje koriste kradljivce informacija i trojance za udaljeni pristup (RAT), što ga čini sve većom zabrinutošću u ekosustavu zlonamjernog softvera kao usluge (MaaS).

Svestranost u akciji: Moćan alat za distribuciju

CastleLoader se koristio za isporuku širokog spektra zlonamjernih sadržaja, uključujući:

  • Kradljivci informacija: DeerStealer, RedLine, StealC
  • Trojanci za udaljeni pristup (RAT): NetSupport RAT, SectopRAT

Njegova modularna struktura omogućuje CastleLoaderu da služi i kao početni utovarivač i kao učitivač druge faze, omogućujući napadačima da odvoje vektor infekcije od korisnog tereta. Ovo odvajanje komplicira napore otkrivanja i odgovora, što znatno otežava atribuciju.

Zamagljivanje i izbjegavanje: Biti korak ispred

CastleLoader koristi nekoliko naprednih tehnika kako bi izbjegao otkrivanje i otežao analizu:

  • Ubrizgavanje i pakiranje mrtvog koda kako bi se prikrila njegova prava funkcionalnost.
  • Raspakiranje tijekom izvođenja radi odgode izvršavanja dok se ne izbjegnu početni slojevi skeniranja.
  • Mjere protiv sandboxinga i obfuscation, usporedive sa sofisticiranim učitivačima poput SmokeLoadera i IceID-a.

Nakon raspakiranja, program za učitavanje se povezuje sa svojim Command-and-Control (C2) poslužiteljem, preuzima dodatne module i pokreće njihovo izvršavanje. Korisni podaci se obično isporučuju kao prenosive izvršne datoteke ugrađene u shellcode, koji pokreće glavne rutine programa za učitavanje.

Taktike i tehnike: Obmana u svojoj srži

Kampanje koje koriste CastleLoader uvelike se oslanjaju na društveni inženjering, posebno:

Napadi krađe identiteta s temom ClickFixa
Žrtve se namamljuju na zlonamjerne domene, maskirane kao platforme za videokonferencije, ažuriranja preglednika, biblioteke za razvojne programere ili portali za provjeru dokumenata, putem zaraženih rezultata Google pretraživanja. Te stranice sadrže lažne poruke o pogrešci ili CAPTCHA upite koji upućuju korisnike da izvršavaju PowerShell naredbe, nesvjesno pokrećući infekciju. ClickFix napadi postali su široko rasprostranjena tehnika koju su usvojile brojne hakerske skupine.

Lažni GitHub repozitoriji
CastleLoader se također širi putem repozitorija koji oponašaju legitimne alate otvorenog koda. Nesumnjivi programeri mogu pokretati naizgled pouzdane instalacijske skripte iz tih repozitorija, nesvjesno zaražavajući svoje sustave. Ova taktika iskorištava percipiranu legitimnost GitHuba i uobičajeno povjerenje programera u otvorene repozitorije.

Ove strategije odražavaju tehnike koje obično koriste posrednici početnog pristupa (IAB), jačajući poziciju CastleLoadera unutar šireg lanca opskrbe kibernetičkog kriminala.

Preklapajuće kampanje i širenje dosega

Istraživači su dokumentirali korištenje CastleLoadera i DeerStealera u više kampanja, napominjući da su neke varijante Hijack Loadera isporučene putem oba alata. Iako se akteri prijetnji iza svake kampanje mogu razlikovati, preklapajuća upotreba učitavača ukazuje na zajednički ekosustav ili model usluge među kibernetičkim kriminalnim skupinama.

Od svibnja 2025. nadalje, CastleLoader je uočen kako koristi sedam jedinstvenih C2 servera, s zabilježenih 1634 pokušaja infekcije. Od toga je 469 uređaja uspješno kompromitirano, što je rezultiralo stopom uspješnosti infekcije od 28,7%.

Infrastruktura koja stoji iza prijetnje

C2 infrastruktura koja podržava CastleLoader je izrazito robusna. Njena pridružena web-bazirana ploča pruža centraliziranu kontrolu nad zaraženim sustavima, odražavajući značajke pronađene u platformama zlonamjernog softvera kao usluge. To ukazuje na iskusan i organiziran rad iza razvoja i implementacije programa za učitavanje.

Ključne informacije: Rastuća prijetnja CastleLoadera

CastleLoader nije samo program za učitavanje, već je strateški omogućivač širih kampanja zlonamjernog softvera.

Njegov modularni dizajn, značajke protiv analize i raznolike taktike isporuke čine ga glavnim alatom za aktere prijetnji koji traže fleksibilnost i prikrivenost.

Zloupotrebom pouzdanih platformi poput GitHuba i iskorištavanjem ponašanja korisnika putem društvenog inženjeringa, CastleLoader naglašava potrebu za pojačanom budnošću i obrambenim strategijama u poduzećima i razvojnim okruženjima.

Kako se ova prijetnja nastavlja razvijati, branitelji moraju ostati oprezni prema novim taktikama i ojačati obranu od zlonamjernih napadača koji djeluju iza kulisa kako bi potaknuli veliki kibernetički kriminal.

 

U trendu

Nagledanije

Učitavam...