Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare CastleLoader-skadevare

CastleLoader-skadevare

Med Mezo i Skadelig programvare
Oversett til:

I det stadig utviklende landskapet av cybertrusler har en ny skadevarelaster kalt CastleLoader dukket opp som et viktig verktøy i arsenalet til nettkriminelle. CastleLoader ble først oppdaget tidlig i 2025 og har raskt fått fotfeste på grunn av sin modularitet, avanserte unnvikelsestaktikker og tilpasningsevne. Forskere har observert dens rolle i flere kampanjer som bruker informasjonstyvere og trojanere for fjerntilgang (RAT-er), noe som gjør den til en økende bekymring i økosystemet for skadevare som en tjeneste (MaaS).

Allsidighet i praksis: Et kraftig distribusjonsverktøy

CastleLoader har blitt brukt til å levere et bredt spekter av ondsinnede nyttelaster, inkludert:

  • Informasjonstyvere: DeerStealer, RedLine, StealC
  • Trojanere for fjerntilgang (RAT-er): NetSupport RAT, SectopRAT

Den modulære strukturen gjør at CastleLoader kan fungere både som en initial dropper og en andretrinnslaster, slik at angripere kan frikoble infeksjonsvektoren fra nyttelasten. Denne separasjonen kompliserer deteksjons- og responsarbeidet, noe som gjør attordiens identifisering betydelig vanskeligere.

Forvirring og unnvikelse: Å ligge ett skritt foran

CastleLoader bruker flere avanserte teknikker for å unngå deteksjon og hindre analyse:

  • Død kodeinjeksjon og pakking for å skjule dens sanne funksjonalitet.
  • Utpakking under kjøring for å forsinke kjøringen til etter at de første skannelagene har unngått.
  • Anti-sandboxing-tiltak og obfuskering, sammenlignbare med sofistikerte lastere som SmokeLoader og IceID.

Når lasteren er pakket ut, kontakter den sin Command-and-Control (C2)-server, laster ned tilleggsmoduler og starter kjøringen av dem. Nyttelastene leveres vanligvis som bærbare kjørbare filer innebygd med skallkode, som starter lasterens kjernerutiner.

Taktikk og teknikker: Bedrag i kjernen

Kampanjene som bruker CastleLoader er i stor grad avhengige av sosial manipulering, spesielt:

ClickFix-tema phishing-angrep
Ofre lokkes til ondsinnede domener, som utgir seg for å være videokonferanseplattformer, nettleseroppdateringer, utviklerbiblioteker eller dokumentverifiseringsportaler, gjennom forgiftede Google-søkeresultater. Disse sidene inneholder falske feilmeldinger eller CAPTCHA-ledetekster som instruerer brukere til å utføre PowerShell-kommandoer, og uvitende starter infeksjonen. ClickFix-angrep har blitt en utbredt teknikk som er tatt i bruk av en rekke hackergrupper.

Falske GitHub-repositorier
CastleLoader sprer seg også gjennom databaser som etterligner legitime verktøy med åpen kildekode. Intetanende utviklere kan kjøre tilsynelatende pålitelige installasjonsskript fra disse databasene, og uforvarende infisere systemene deres. Denne taktikken utnytter den oppfattede legitimiteten til GitHub og utviklernes vanlige tillit til åpne databaser.

Disse strategiene gjenspeiler teknikker som vanligvis brukes av Initial Access Brokers (IAB-er), og forsterker CastleLoaders posisjon innenfor en bredere forsyningskjede for nettkriminelle.

Overlappende kampanjer og utvidet rekkevidde

Forskere har dokumentert bruk av CastleLoader og DeerStealer på tvers av kampanjer, og bemerker at noen varianter av Hijack Loader ble levert via begge verktøyene. Selv om trusselaktørene bak hver kampanje kan variere, indikerer den overlappende bruken av lastere et delt økosystem eller en tjenestemodell blant nettkriminelle grupper.

Fra mai 2025 og utover har CastleLoader blitt observert ved bruk av syv unike C2-servere, med 1634 registrerte infeksjonsforsøk. Av disse ble 469 enheter kompromittert, noe som resulterte i en suksessrate for infeksjon på 28,7 %.

Infrastrukturen bak trusselen

C2-infrastrukturen som støtter CastleLoader er bemerkelsesverdig robust. Det tilhørende nettbaserte panelet gir sentralisert kontroll over infiserte systemer, noe som gjenspeiler funksjoner som finnes i malware-as-a-service-plattformer. Dette peker på en erfaren og organisert operasjon bak utviklingen og distribusjonen av loaderen.

Viktige konklusjoner: CastleLoaders voksende trussel

CastleLoader er ikke bare en laster, det er en strategisk muliggjører av bredere skadevarekampanjer.

Dens modulære design, anti-analysefunksjoner og varierte leveringstaktikker gjør den til et førsteklasses verktøy for trusselaktører som søker fleksibilitet og stealth.

Ved å misbruke pålitelige plattformer som GitHub og utnytte brukeratferd gjennom sosial manipulering, understreker CastleLoader behovet for økt årvåkenhet og defensive strategier i både bedrifts- og utviklermiljøer.

Etter hvert som denne trusselen fortsetter å utvikle seg, må forsvarere være årvåkne for nye taktikker og styrke forsvaret mot lastere som opererer bak kulissene for å drive storskala nettkriminalitet.

 

Trender

Mest sett

Laster inn...