Malware CastleLoader

Entro Mezo nel Malware

Traduci in:

Nel panorama in continua evoluzione delle minacce informatiche, un nuovo malware loader, denominato CastleLoader, si è affermato come uno strumento fondamentale negli arsenali dei criminali informatici. Rilevato per la prima volta all'inizio del 2025, CastleLoader ha rapidamente guadagnato popolarità grazie alla sua modularità, alle avanzate tattiche di elusione e alla sua adattabilità. I ricercatori ne hanno osservato il ruolo in numerose campagne che utilizzano ladri di informazioni e Trojan di accesso remoto (RAT), rendendolo una preoccupazione crescente nell'ecosistema del malware-as-a-service (MaaS).

Sommario

Versatilità in azione: un potente strumento di distribuzione

CastleLoader è stato utilizzato per distribuire un'ampia gamma di payload dannosi, tra cui:

Ladri di informazioni: DeerStealer, RedLine, StealC
Trojan di accesso remoto (RAT): NetSupport RAT, SectopRAT

La sua struttura modulare consente a CastleLoader di fungere sia da dropper iniziale che da loader di seconda fase, consentendo agli aggressori di separare il vettore di infezione dal payload. Questa separazione complica le attività di rilevamento e risposta, rendendo l'attribuzione significativamente più difficile.

Offuscamento ed evasione: restare sempre un passo avanti

CastleLoader utilizza diverse tecniche avanzate per evitare il rilevamento e ostacolare l'analisi:

Iniezione e compressione di codice morto per oscurarne la vera funzionalità.
Decompressione in fase di esecuzione per ritardare l'esecuzione fino a quando non vengono elusi i livelli di scansione iniziali.
Misure anti-sandbox e offuscamento, paragonabili a caricatori sofisticati come SmokeLoader e IceID.

Una volta decompresso, il loader contatta il suo server di comando e controllo (C2), scarica moduli aggiuntivi e ne avvia l'esecuzione. I payload vengono in genere forniti come eseguibili portatili con shellcode incorporato, che avvia le routine principali del loader.

Tattiche e tecniche: l’inganno al centro

Le campagne che utilizzano CastleLoader si basano in gran parte sull'ingegneria sociale, in particolare:

Attacchi di phishing a tema ClickFix
Le vittime vengono attirate verso domini dannosi, mascherati da piattaforme di videoconferenza, aggiornamenti del browser, librerie per sviluppatori o portali di verifica dei documenti, attraverso risultati di ricerca Google infettati. Queste pagine contengono falsi messaggi di errore o prompt CAPTCHA che richiedono agli utenti di eseguire comandi PowerShell, avviando inconsapevolmente l'infezione. Gli attacchi ClickFix sono diventati una tecnica diffusa adottata da numerosi gruppi di hacker.

Repository GitHub falsi
CastleLoader si diffonde anche attraverso repository che imitano strumenti open source legittimi. Sviluppatori ignari potrebbero eseguire script di installazione apparentemente affidabili da questi repository, infettando inconsapevolmente i loro sistemi. Questa tattica sfrutta la presunta legittimità di GitHub e la fiducia abituale degli sviluppatori nei repository aperti.

Queste strategie riflettono le tecniche comunemente utilizzate dagli Initial Access Broker (IAB), rafforzando la posizione di CastleLoader all'interno di una più ampia catena di fornitura di criminali informatici.

Campagne sovrapposte ed espansione della portata

I ricercatori hanno documentato l'utilizzo di CastleLoader e DeerStealer in diverse campagne, osservando che alcune varianti di Hijack Loader sono state distribuite tramite entrambi gli strumenti. Sebbene gli autori delle minacce dietro ciascuna campagna possano differire, l'utilizzo sovrapposto dei loader indica un ecosistema o un modello di servizio condiviso tra i gruppi di criminali informatici.

Da maggio 2025 in poi, CastleLoader è stato osservato utilizzando sette server C2 univoci, con 1.634 tentativi di infezione registrati. Di questi, 469 dispositivi sono stati compromessi con successo, con un tasso di successo delle infezioni del 28,7%.

L’infrastruttura dietro la minaccia

L'infrastruttura C2 che supporta CastleLoader è particolarmente robusta. Il pannello di controllo web associato fornisce un controllo centralizzato sui sistemi infetti, rispecchiando le funzionalità delle piattaforme malware-as-a-service. Ciò dimostra che dietro lo sviluppo e l'implementazione del loader c'è un team esperto e organizzato.

Punti chiave: la crescente minaccia di CastleLoader

CastleLoader non è solo un caricatore, è un abilitatore strategico di campagne malware più ampie.

Il suo design modulare, le funzionalità anti-analisi e le diverse tattiche di distribuzione lo rendono uno strumento fondamentale per gli autori di minacce che cercano flessibilità e furtività.

Abusando di piattaforme affidabili come GitHub e sfruttando il comportamento degli utenti tramite l'ingegneria sociale, CastleLoader sottolinea la necessità di una maggiore vigilanza e di strategie difensive sia negli ambienti aziendali che in quelli degli sviluppatori.

Poiché questa minaccia continua a evolversi, i difensori devono rimanere in allerta sulle nuove tattiche e rafforzare le difese contro i loader che operano dietro le quinte per alimentare la criminalità informatica su larga scala.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

Malware CastleLoader

Versatilità in azione: un potente strumento di distribuzione

Offuscamento ed evasione: restare sempre un passo avanti

Tattiche e tecniche: l’inganno al centro

Campagne sovrapposte ed espansione della portata

L’infrastruttura dietro la minaccia

Punti chiave: la crescente minaccia di CastleLoader

Invia commento

Tendenza

Ransomware BlackFL

Truffa di criptovalute Gerolax

Spyware Batavia

I più visti

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...

Discord è bloccato sullo schermo grigio