Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie CastleLoader Malware

CastleLoader Malware

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

W stale zmieniającym się krajobrazie cyberzagrożeń, nowy program do ładowania złośliwego oprogramowania o nazwie CastleLoader stał się istotnym narzędziem w arsenale cyberprzestępców. Wykryty po raz pierwszy na początku 2025 roku, CastleLoader szybko zyskał popularność dzięki swojej modułowości, zaawansowanym taktykom unikania i elastyczności. Badacze zaobserwowali jego rolę w wielu kampaniach wykorzystujących programy wykradające informacje i trojany zdalnego dostępu (RAT), co czyni go coraz większym zagrożeniem w ekosystemie oprogramowania jako usługi (MaaS).

Wszechstronność w działaniu: potężne narzędzie dystrybucji

CastleLoader był używany do dostarczania szerokiej gamy złośliwych ładunków, w tym:

  • Złodzieje informacji: DeerStealer, RedLine, StealC
  • Trojany zdalnego dostępu (RAT): NetSupport RAT, SectopRAT

Jego modułowa struktura pozwala CastleLoaderowi działać zarówno jako początkowy dropper, jak i ładowacz drugiego etapu, umożliwiając atakującym oddzielenie wektora infekcji od ładunku. To oddzielenie komplikuje wykrywanie i reagowanie na ataki, znacznie utrudniając atrybucję.

Zaciemnianie i unikanie: bądź o krok przed innymi

CastleLoader wykorzystuje kilka zaawansowanych technik, aby uniknąć wykrycia i utrudnić analizę:

  • Wstrzykiwanie i pakowanie martwego kodu w celu ukrycia jego prawdziwej funkcjonalności.
  • Rozpakowywanie w czasie wykonywania w celu opóźnienia wykonania do momentu ominięcia początkowych warstw skanowania.
  • Środki zapobiegające sandboxingowi i zaciemnianiu, porównywalne z zaawansowanymi ładowarkami, takimi jak SmokeLoader i IceID.

Po rozpakowaniu moduł ładujący nawiązuje połączenie z serwerem poleceń i kontroli (C2), pobiera dodatkowe moduły i inicjuje ich wykonanie. Ładunki są zazwyczaj dostarczane jako przenośne pliki wykonywalne z osadzonym kodem powłoki, który uruchamia podstawowe procedury modułu ładującego.

Taktyka i techniki: Oszustwo w swojej istocie

Kampanie wykorzystujące CastleLoader w dużym stopniu opierają się na inżynierii społecznej, w szczególności:

Ataki phishingowe o tematyce ClickFix
Ofiary są wabione do złośliwych domen, podszywających się pod platformy wideokonferencyjne, aktualizacje przeglądarek, biblioteki programistyczne lub portale weryfikacji dokumentów, za pośrednictwem zatrutych wyników wyszukiwania Google. Strony te zawierają fałszywe komunikaty o błędach lub monity CAPTCHA, które instruują użytkowników, aby wykonali polecenia programu PowerShell, nieświadomie inicjując infekcję. Ataki ClickFix stały się powszechną techniką stosowaną przez liczne grupy hakerów.

Fałszywe repozytoria GitHub
CastleLoader rozprzestrzenia się również za pośrednictwem repozytoriów imitujących legalne narzędzia open source. Nieświadomi programiści mogą uruchamiać pozornie wiarygodne skrypty instalacyjne z tych repozytoriów, nieświadomie infekując swoje systemy. Ta taktyka wykorzystuje postrzeganą legalność GitHuba i zwyczajowe zaufanie programistów do otwartych repozytoriów.

Strategie te odzwierciedlają techniki powszechnie stosowane przez brokerów dostępu początkowego (IAB), wzmacniając pozycję CastleLoadera w szerszym łańcuchu dostaw cyberprzestępców.

Nakładające się kampanie i rozszerzający się zasięg

Badacze udokumentowali wykorzystanie CastleLoadera i DeerStealera w kampaniach krzyżowych, zauważając, że niektóre warianty Hijack Loadera były dostarczane za pośrednictwem obu narzędzi. Chociaż aktorzy stojący za każdą kampanią mogą się różnić, nakładanie się użycia loaderów wskazuje na wspólny ekosystem lub model usług wśród grup cyberprzestępców.

Od maja 2025 roku CastleLoader był obserwowany z wykorzystaniem siedmiu unikalnych serwerów C2, odnotowując 1634 próby infekcji. Spośród nich 469 urządzeń zostało skutecznie zainfekowanych, co daje wskaźnik skuteczności infekcji na poziomie 28,7%.

Infrastruktura stojąca za zagrożeniem

Infrastruktura C2 obsługująca CastleLoader jest wyjątkowo solidna. Powiązany z nią panel internetowy zapewnia scentralizowaną kontrolę nad zainfekowanymi systemami, nawiązując do funkcji platform typu malware-as-a-service. Świadczy to o doświadczonym i zorganizowanym zespole odpowiedzialnym za rozwój i wdrożenie modułu ładującego.

Najważniejsze wnioski: rosnące zagrożenie ze strony CastleLoadera

CastleLoader to nie tylko moduł ładujący, to strategiczny element umożliwiający prowadzenie szerszych kampanii z wykorzystaniem złośliwego oprogramowania.

Modułowa konstrukcja, funkcje zapobiegające analizie i różnorodne taktyki dostarczania sprawiają, że jest to doskonałe narzędzie dla podmiotów stwarzających zagrożenia, którym zależy na elastyczności i dyskretności.

Wykorzystując zaufane platformy, takie jak GitHub, i wykorzystując zachowania użytkowników za pomocą inżynierii społecznej, CastleLoader podkreśla potrzebę zwiększonej czujności i strategii obronnych zarówno w środowiskach korporacyjnych, jak i deweloperskich.

W miarę jak zagrożenie to ewoluuje, osoby odpowiedzialne za obronę muszą pozostawać czujne i wypatrywać nowych taktyk oraz wzmacniać obronę przed programami ładującymi, które działają w tle i umożliwiają prowadzenie cyberprzestępczości na szeroką skalę.


Popularne

Najczęściej oglądane

Ładowanie...