CastleLoader Malware

ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੇ ਲਗਾਤਾਰ ਵਿਕਸਤ ਹੋ ਰਹੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ, ਕੈਸਲਲੋਡਰ ਨਾਮਕ ਇੱਕ ਨਵਾਂ ਮਾਲਵੇਅਰ ਲੋਡਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਾਧਨ ਵਜੋਂ ਉਭਰਿਆ ਹੈ। 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ ਖੋਜਿਆ ਗਿਆ, ਕੈਸਲਲੋਡਰ ਨੇ ਆਪਣੀ ਮਾਡਿਊਲਰਿਟੀ, ਉੱਨਤ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਅਤੇ ਅਨੁਕੂਲਤਾ ਦੇ ਕਾਰਨ ਤੇਜ਼ੀ ਨਾਲ ਖਿੱਚ ਪ੍ਰਾਪਤ ਕੀਤੀ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕਈ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਇਸਦੀ ਭੂਮਿਕਾ ਨੂੰ ਦੇਖਿਆ ਹੈ ਜੋ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲਿਆਂ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RATs) ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਇਹ ਮਾਲਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ (MaaS) ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਇੱਕ ਵਧਦੀ ਚਿੰਤਾ ਬਣ ਗਿਆ ਹੈ।

ਕਾਰਜਸ਼ੀਲਤਾ ਵਿੱਚ ਬਹੁਪੱਖੀਤਾ: ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਵੰਡ ਸੰਦ

ਕੈਸਲਲੋਡਰ ਦੀ ਵਰਤੋਂ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ: ਡੀਅਰਸਟੀਲਰ, ਰੈੱਡਲਾਈਨ, ਸਟੀਲਸੀ
• ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RATs): NetSupport RAT, SectopRAT

ਇਸਦੀ ਮਾਡਿਊਲਰ ਬਣਤਰ ਕੈਸਲਲੋਡਰ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਡਰਾਪਰ ਅਤੇ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਲੋਡਰ ਦੋਵਾਂ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਪੇਲੋਡ ਤੋਂ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਨੂੰ ਵੱਖ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਵੱਖਰਾਪਣ ਖੋਜ ਅਤੇ ਜਵਾਬ ਦੇ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਐਟ੍ਰਬਿਊਸ਼ਨ ਕਾਫ਼ੀ ਔਖਾ ਹੋ ਜਾਂਦਾ ਹੈ।

ਉਲਝਣ ਅਤੇ ਚੋਰੀ: ਇੱਕ ਕਦਮ ਅੱਗੇ ਰਹਿਣਾ

ਕੈਸਲਲੋਡਰ ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਕਈ ਉੱਨਤ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:

• ਇਸਦੀ ਅਸਲ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਡੈੱਡ ਕੋਡ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਪੈਕਿੰਗ।
• ਸ਼ੁਰੂਆਤੀ ਸਕੈਨਿੰਗ ਪਰਤਾਂ ਤੋਂ ਬਚਣ ਤੱਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਿੱਚ ਦੇਰੀ ਕਰਨ ਲਈ ਰਨਟਾਈਮ ਅਨਪੈਕਿੰਗ।
• ਸੈਂਡਬਾਕਸਿੰਗ ਵਿਰੋਧੀ ਉਪਾਅ ਅਤੇ ਗੁੰਝਲਦਾਰਤਾ, ਸਮੋਕਲੋਡਰ ਅਤੇ ਆਈਸਆਈਡੀ ਵਰਗੇ ਆਧੁਨਿਕ ਲੋਡਰਾਂ ਦੇ ਮੁਕਾਬਲੇ।

ਇੱਕ ਵਾਰ ਅਨਪੈਕ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਲੋਡਰ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ, ਵਾਧੂ ਮੋਡੀਊਲ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਪੇਲੋਡ ਆਮ ਤੌਰ 'ਤੇ ਸ਼ੈੱਲਕੋਡ ਨਾਲ ਏਮਬੇਡ ਕੀਤੇ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜੋ ਲੋਡਰ ਦੇ ਕੋਰ ਰੁਟੀਨ ਨੂੰ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਰਣਨੀਤੀਆਂ ਅਤੇ ਤਕਨੀਕਾਂ: ਇਸਦੇ ਮੂਲ ਵਿੱਚ ਧੋਖਾ

ਕੈਸਲਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ, ਖਾਸ ਕਰਕੇ:

ਕਲਿਕਫਿਕਸ-ਥੀਮਡ ਫਿਸ਼ਿੰਗ ਹਮਲੇ
ਪੀੜਤਾਂ ਨੂੰ ਜ਼ਹਿਰੀਲੇ ਗੂਗਲ ਸਰਚ ਨਤੀਜਿਆਂ ਰਾਹੀਂ ਵੀਡੀਓ ਕਾਨਫਰੰਸਿੰਗ ਪਲੇਟਫਾਰਮਾਂ, ਬ੍ਰਾਊਜ਼ਰ ਅੱਪਡੇਟਾਂ, ਡਿਵੈਲਪਰ ਲਾਇਬ੍ਰੇਰੀਆਂ, ਜਾਂ ਦਸਤਾਵੇਜ਼ ਤਸਦੀਕ ਪੋਰਟਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲ ਕੇ ਖਤਰਨਾਕ ਡੋਮੇਨਾਂ ਵੱਲ ਲੁਭਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹਨਾਂ ਪੰਨਿਆਂ ਵਿੱਚ ਨਕਲੀ ਗਲਤੀ ਸੁਨੇਹੇ ਜਾਂ ਕੈਪਚਾ ਪ੍ਰੋਂਪਟ ਹੁੰਦੇ ਹਨ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੇ ਹਨ, ਅਣਜਾਣੇ ਵਿੱਚ ਲਾਗ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ। ਕਲਿਕਫਿਕਸ ਹਮਲੇ ਕਈ ਹੈਕਰ ਸਮੂਹਾਂ ਦੁਆਰਾ ਅਪਣਾਈ ਗਈ ਇੱਕ ਵਿਆਪਕ ਤਕਨੀਕ ਬਣ ਗਏ ਹਨ।

ਨਕਲੀ GitHub ਰਿਪੋਜ਼ਟਰੀਆਂ
ਕੈਸਲਲੋਡਰ ਉਹਨਾਂ ਰਿਪੋਜ਼ਟਰੀਆਂ ਰਾਹੀਂ ਵੀ ਫੈਲਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਓਪਨ-ਸੋਰਸ ਟੂਲਸ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਬੇਖ਼ਬਰ ਡਿਵੈਲਪਰ ਇਹਨਾਂ ਰਿਪੋਜ਼ਟਰੀਆਂ ਤੋਂ ਪ੍ਰਤੀਤ ਹੋਣ ਵਾਲੇ ਭਰੋਸੇਯੋਗ ਇੰਸਟਾਲੇਸ਼ਨ ਸਕ੍ਰਿਪਟਾਂ ਚਲਾ ਸਕਦੇ ਹਨ, ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਰਣਨੀਤੀ GitHub ਦੀ ਸਮਝੀ ਗਈ ਜਾਇਜ਼ਤਾ ਅਤੇ ਓਪਨ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਡਿਵੈਲਪਰਾਂ ਦੇ ਆਦਤਨ ਵਿਸ਼ਵਾਸ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ।

ਇਹ ਰਣਨੀਤੀਆਂ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ (IABs) ਦੁਆਰਾ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਜੋ ਇੱਕ ਵਿਸ਼ਾਲ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਸਪਲਾਈ ਲੜੀ ਦੇ ਅੰਦਰ CastleLoader ਦੀ ਸਥਿਤੀ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀਆਂ ਹਨ।

ਓਵਰਲੈਪਿੰਗ ਮੁਹਿੰਮਾਂ ਅਤੇ ਪਹੁੰਚ ਦਾ ਵਿਸਤਾਰ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕੈਸਲਲੋਡਰ ਅਤੇ ਡੀਅਰਸਟੀਲਰ ਦੇ ਕਰਾਸ-ਕੈਂਪੇਨ ਵਰਤੋਂ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਹੈ, ਇਹ ਨੋਟ ਕਰਦੇ ਹੋਏ ਕਿ ਹਾਈਜੈਕ ਲੋਡਰ ਦੇ ਕੁਝ ਰੂਪ ਦੋਵਾਂ ਟੂਲਸ ਰਾਹੀਂ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਸਨ। ਜਦੋਂ ਕਿ ਹਰੇਕ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕ ਵੱਖੋ-ਵੱਖਰੇ ਹੋ ਸਕਦੇ ਹਨ, ਲੋਡਰਾਂ ਦੀ ਓਵਰਲੈਪਿੰਗ ਵਰਤੋਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਵਿੱਚ ਇੱਕ ਸਾਂਝੇ ਈਕੋਸਿਸਟਮ ਜਾਂ ਸੇਵਾ ਮਾਡਲ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਮਈ 2025 ਤੋਂ, ਕੈਸਲਲੋਡਰ ਨੂੰ ਸੱਤ ਵਿਲੱਖਣ C2 ਸਰਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ 1,634 ਇਨਫੈਕਸ਼ਨ ਕੋਸ਼ਿਸ਼ਾਂ ਦਰਜ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਇਹਨਾਂ ਵਿੱਚੋਂ, 469 ਡਿਵਾਈਸਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਇਨਫੈਕਸ਼ਨ ਸਫਲਤਾ ਦਰ 28.7% ਰਹੀ।

ਖ਼ਤਰੇ ਪਿੱਛੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ

CastleLoader ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲਾ C2 ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਖਾਸ ਤੌਰ 'ਤੇ ਮਜ਼ਬੂਤ ਹੈ। ਇਸਦਾ ਸੰਬੰਧਿਤ ਵੈੱਬ-ਅਧਾਰਿਤ ਪੈਨਲ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਕੇਂਦਰੀਕ੍ਰਿਤ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਮਾਲਵੇਅਰ-ਏਜ਼-ਏ-ਸਰਵਿਸ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਪਾਈਆਂ ਜਾਣ ਵਾਲੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਹ ਲੋਡਰ ਦੇ ਵਿਕਾਸ ਅਤੇ ਤੈਨਾਤੀ ਦੇ ਪਿੱਛੇ ਇੱਕ ਤਜਰਬੇਕਾਰ ਅਤੇ ਸੰਗਠਿਤ ਕਾਰਜ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ।

ਮੁੱਖ ਨੁਕਤੇ: ਕੈਸਲਲੋਡਰ ਦਾ ਵਧਦਾ ਖ਼ਤਰਾ

ਕੈਸਲਲੋਡਰ ਸਿਰਫ਼ ਇੱਕ ਲੋਡਰ ਨਹੀਂ ਹੈ, ਇਹ ਵਿਆਪਕ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਦਾ ਇੱਕ ਰਣਨੀਤਕ ਸਮਰੱਥਕ ਹੈ।

ਇਸਦਾ ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਈਨ, ਵਿਸ਼ਲੇਸ਼ਣ-ਵਿਰੋਧੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ, ਅਤੇ ਵਿਭਿੰਨ ਡਿਲੀਵਰੀ ਰਣਨੀਤੀਆਂ ਇਸਨੂੰ ਲਚਕਤਾ ਅਤੇ ਚੋਰੀ ਦੀ ਭਾਲ ਕਰਨ ਵਾਲੇ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਇੱਕ ਪ੍ਰਮੁੱਖ ਸੰਦ ਬਣਾਉਂਦੀਆਂ ਹਨ।

GitHub ਵਰਗੇ ਭਰੋਸੇਯੋਗ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਾਹੀਂ ਉਪਭੋਗਤਾ ਵਿਵਹਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, CastleLoader ਐਂਟਰਪ੍ਰਾਈਜ਼ ਅਤੇ ਡਿਵੈਲਪਰ ਦੋਵਾਂ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਵਧੀ ਹੋਈ ਚੌਕਸੀ ਅਤੇ ਰੱਖਿਆਤਮਕ ਰਣਨੀਤੀਆਂ ਦੀ ਜ਼ਰੂਰਤ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ।

ਜਿਵੇਂ ਕਿ ਇਹ ਖ਼ਤਰਾ ਵਿਕਸਤ ਹੁੰਦਾ ਜਾ ਰਿਹਾ ਹੈ, ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਨਵੀਆਂ ਚਾਲਾਂ ਪ੍ਰਤੀ ਸੁਚੇਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਾਈਬਰ ਅਪਰਾਧ ਨੂੰ ਸ਼ਕਤੀ ਦੇਣ ਲਈ ਪਰਦੇ ਪਿੱਛੇ ਕੰਮ ਕਰਨ ਵਾਲੇ ਲੋਡਰਾਂ ਵਿਰੁੱਧ ਬਚਾਅ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।