Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware CastleLoader

Malware CastleLoader

Por Mezo em Malware
Traduzir Para:

No cenário em constante evolução das ameaças cibernéticas, um novo carregador de malware, denominado CastleLoader, surgiu como uma ferramenta significativa nos arsenais dos cibercriminosos. Detectado pela primeira vez no início de 2025, o CastleLoader rapidamente ganhou força devido à sua modularidade, táticas avançadas de evasão e adaptabilidade. Pesquisadores observaram seu papel em diversas campanhas que utilizam ladrões de informações e trojans de acesso remoto (RATs), tornando-o uma preocupação crescente no ecossistema de malware como serviço (MaaS).

Versatilidade em Ação: Uma Poderosa Ferramenta de Distribuição

O CastleLoader tem sido usado para entregar uma ampla gama de cargas maliciosas, incluindo:

  • Ladrões de informações: DeerStealer, RedLine, StealC
  • Trojans de acesso remoto (RATs): NetSupport RAT, SectopRAT

Sua estrutura modular permite que o CastleLoader atue tanto como um dropper inicial quanto como um carregador de segundo estágio, permitindo que os invasores dissociem o vetor de infecção da carga útil. Essa separação complica os esforços de detecção e resposta, tornando a atribuição significativamente mais difícil.

Ofuscação e Evasão: Estar um Passo à Frente

O CastleLoader usa diversas técnicas avançadas para evitar a detecção e dificultar a análise:

  • Injeção e compactação de código morto para obscurecer sua verdadeira funcionalidade.
  • Descompactação em tempo de execução para atrasar a execução até depois de escapar das camadas de varredura iniciais.
  • Medidas anti-sandboxing e ofuscação, comparáveis a carregadores sofisticados como SmokeLoader e IceID.

Uma vez descompactado, o carregador acessa seu servidor de Comando e Controle (C2), baixa módulos adicionais e inicia sua execução. Os payloads são normalmente entregues como executáveis portáteis incorporados com shellcode, que inicia as rotinas principais do carregador.

Táticas e Técnicas: A Engana em Sua Essência

As campanhas que usam CastleLoader dependem fortemente de engenharia social, particularmente:

Ataques de phishing com tema ClickFix
As vítimas são atraídas para domínios maliciosos, disfarçados de plataformas de videoconferência, atualizações de navegadores, bibliotecas de desenvolvedores ou portais de verificação de documentos, por meio de resultados de pesquisa do Google envenenados. Essas páginas contêm mensagens de erro falsas ou prompts de CAPTCHA que instruem os usuários a executar comandos do PowerShell, iniciando a infecção sem que eles percebam. Os ataques ClickFix se tornaram uma técnica amplamente adotada por diversos grupos de hackers.

Repositórios GitHub falsos
O CastleLoader também se espalha por meio de repositórios que imitam ferramentas legítimas de código aberto. Desenvolvedores desavisados podem executar scripts de instalação aparentemente confiáveis a partir desses repositórios, infectando seus sistemas sem querer. Essa tática se aproveita da legitimidade percebida do GitHub e da confiança habitual dos desenvolvedores em repositórios abertos.

Essas estratégias refletem técnicas comumente usadas por Initial Access Brokers (IABs), reforçando a posição da CastleLoader dentro de uma cadeia de suprimentos cibercriminosa mais ampla.

Campanhas sobrepostas e expansão do alcance

Pesquisadores documentaram o uso do CastleLoader e do DeerStealer em campanhas cruzadas, observando que algumas variantes do Hijack Loader foram implantadas por meio de ambas as ferramentas. Embora os agentes de ameaças por trás de cada campanha possam ser diferentes, o uso sobreposto dos loaders indica um ecossistema ou modelo de serviço compartilhado entre os grupos de criminosos cibernéticos.

De maio de 2025 em diante, o CastleLoader foi observado utilizando sete servidores C2 exclusivos, com 1.634 tentativas de infecção registradas. Destes, 469 dispositivos foram comprometidos com sucesso, resultando em uma taxa de sucesso de infecção de 28,7%.

A infraestrutura por trás da ameaça

A infraestrutura C2 que suporta o CastleLoader é notavelmente robusta. Seu painel web associado fornece controle centralizado sobre os sistemas infectados, reproduzindo recursos encontrados em plataformas de malware como serviço. Isso indica uma operação experiente e organizada por trás do desenvolvimento e da implantação do carregador.

Principais conclusões: A crescente ameaça do CastleLoader

O CastleLoader não é apenas um carregador, é um facilitador estratégico de campanhas de malware mais amplas.

Seu design modular, recursos antianálise e diversas táticas de entrega fazem dele uma ferramenta essencial para agentes de ameaças que buscam flexibilidade e furtividade.

Ao abusar de plataformas confiáveis como o GitHub e explorar o comportamento do usuário por meio de engenharia social, o CastleLoader ressalta a necessidade de maior vigilância e estratégias defensivas em ambientes corporativos e de desenvolvedores.

À medida que essa ameaça continua a evoluir, os defensores devem permanecer atentos a novas táticas e fortalecer as defesas contra carregadores que operam nos bastidores para alimentar crimes cibernéticos em larga escala.

 

Tendendo

Mais visto

Carregando...