Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra CastleLoader ļaunprogrammatūra

CastleLoader ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Pastāvīgi mainīgajā kiberdraudu ainavā jauns ļaunprogrammatūras ielādētājs ar nosaukumu CastleLoader ir parādījies kā nozīmīgs rīks kibernoziedznieku arsenālā. Pirmo reizi atklāts 2025. gada sākumā, CastleLoader ir ātri ieguvis popularitāti, pateicoties tā modularitātei, uzlabotajai apiešanas taktikai un pielāgojamībai. Pētnieki ir novērojuši tā lomu vairākās kampaņās, kurās tiek izmantoti informācijas zagļi un attālās piekļuves Trojas zirgi (RAT), padarot to par arvien lielāku problēmu ļaunprogrammatūras kā pakalpojuma (MaaS) ekosistēmā.

Daudzpusība darbībā: spēcīgs izplatīšanas rīks

CastleLoader ir izmantots, lai piegādātu plašu ļaunprātīgu vērtumu klāstu, tostarp:

  • Informācijas zagļi: DeerStealer, RedLine, StealC
  • Attālās piekļuves Trojas zirgi (RAT): NetSupport RAT, SectopRAT

Tā modulārā struktūra ļauj CastleLoader kalpot gan kā sākotnējais nomestājs, gan otrās pakāpes ielādētājs, ļaujot uzbrucējiem atdalīt infekcijas vektoru no lietderīgās slodzes. Šī atdalīšana sarežģī atklāšanas un reaģēšanas centienus, ievērojami apgrūtinot attiecināšanas noteikšanu.

Aptumšošana un izvairīšanās: palikt soli priekšā

CastleLoader izmanto vairākas uzlabotas metodes, lai izvairītos no atklāšanas un kavētu analīzi:

  • Nedzīva koda injekcija un iepakošana, lai slēptu tā patieso funkcionalitāti.
  • Izpakošana izpildes laikā, lai aizkavētu izpildi, līdz tiek apieti sākotnējie skenēšanas slāņi.
  • Pret smilškastes efekta un maskēšanas pasākumi, kas ir salīdzināmi ar tādiem sarežģītiem iekrāvējiem kā SmokeLoader un IceID.

Pēc izpakošanas ielādētājs izveido savienojumu ar savu vadības un vadības (C2) serveri, lejupielādē papildu moduļus un sāk to izpildi. Derīgie dati parasti tiek piegādāti kā pārnēsājami izpildāmi faili, kas iegulti apvalkkodā, kurš palaiž ielādētāja galvenās rutīnas.

Taktika un paņēmieni: Maldināšana tās būtībā

Kampaņas, kurās tiek izmantota CastleLoader platforma, lielā mērā balstās uz sociālo inženieriju, jo īpaši:

ClickFix tematikas pikšķerēšanas uzbrukumi
Cietušie tiek pievilināti uz ļaunprātīgām domēnām, kas maskējas kā videokonferenču platformas, pārlūkprogrammu atjauninājumi, izstrādātāju bibliotēkas vai dokumentu verifikācijas portāli, izmantojot saindētus Google meklēšanas rezultātus. Šajās lapās ir viltoti kļūdu ziņojumi vai CAPTCHA uzvednes, kas liek lietotājiem izpildīt PowerShell komandas, neapzināti uzsākot infekciju. ClickFix uzbrukumi ir kļuvuši par plaši izplatītu paņēmienu, ko izmanto daudzas hakeru grupas.

Viltus GitHub repozitoriji
CastleLoader izplatās arī caur repozitorijiem, kas atdarina likumīgus atvērtā pirmkoda rīkus. Neuzmanīgi izstrādātāji var palaist šķietami uzticamus instalācijas skriptus no šiem repozitorijiem, netīšām inficējot savas sistēmas. Šī taktika izmanto GitHub uztverto leģitimitāti un izstrādātāju ierasto uzticēšanos atvērtajiem repozitorijiem.

Šīs stratēģijas atspoguļo metodes, ko parasti izmanto sākotnējās piekļuves brokeri (IAB), nostiprinot CastleLoader pozīcijas plašākā kibernoziedznieku piegādes ķēdē.

Pārklājošas kampaņas un sasniedzamības paplašināšana

Pētnieki ir dokumentējuši CastleLoader un DeerStealer izmantošanu vairākās kampaņās, norādot, ka daži Hijack Loader varianti tika piegādāti, izmantojot abus rīkus. Lai gan katras kampaņas apdraudējumu dalībnieki var atšķirties, iekrāvēju izmantošanas pārklāšanās norāda uz kopīgu ekosistēmu vai pakalpojumu modeli kibernoziedznieku grupējumu vidū.

Kopš 2025. gada maija ir novērots, ka CastleLoader izmanto septiņus unikālus C2 serverus, un ir reģistrēti 1634 inficēšanas mēģinājumi. No tiem 469 ierīces tika veiksmīgi apdraudētas, kā rezultātā inficēšanas panākumu līmenis bija 28,7 %.

Infrastruktūra, kas slēpjas aiz draudiem

CastleLoader atbalstošā C2 infrastruktūra ir ievērojami stabila. Ar to saistītais tīmekļa panelis nodrošina centralizētu kontroli pār inficētām sistēmām, atspoguļojot funkcijas, kas atrodamas ļaunprogrammatūras kā pakalpojuma platformās. Tas norāda uz pieredzējušu un organizētu darbību, kas ir ielādētāja izstrādes un ieviešanas pamatā.

Galvenie secinājumi: CastleLoader pieaugošais drauds

CastleLoader nav tikai ielādētājs, bet gan stratēģisks plašāku ļaunprogrammatūras kampaņu veicinātājs.

Tā modulārais dizains, pretanalīzes funkcijas un daudzveidīgā piegādes taktika padara to par galveno rīku apdraudējumu dalībniekiem, kuri meklē elastību un slepenību.

Ļaunprātīgi izmantojot uzticamas platformas, piemēram, GitHub, un lietotāju uzvedību, izmantojot sociālo inženieriju, CastleLoader uzsver nepieciešamību pēc pastiprinātas modrības un aizsardzības stratēģijām gan uzņēmumu, gan izstrādātāju vidē.

Tā kā šis apdraudējums turpina attīstīties, aizstāvjiem ir jāpaliek modriem attiecībā uz jaunām taktikām un jāstiprina aizsardzība pret iekrāvējiem, kas darbojas aizkulisēs, lai veicinātu liela mēroga kibernoziegumus.

 

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,931
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...