Programe malware CastleLoader

În peisajul în continuă evoluție al amenințărilor cibernetice, un nou program de încărcare malware, numit CastleLoader, a devenit un instrument semnificativ în arsenalul infractorilor cibernetici. Detectat pentru prima dată la începutul anului 2025, CastleLoader a câștigat rapid teren datorită modularității sale, tacticilor avansate de evitare a atacurilor și adaptabilității. Cercetătorii au observat rolul său în mai multe campanii care implementează programe de tip „information stealers” și troieni de acces la distanță (RAT), ceea ce îl face o preocupare tot mai mare în ecosistemul malware-as-a-service (MaaS).

Versatilitate în acțiune: un instrument puternic de distribuție

CastleLoader a fost folosit pentru a livra o gamă largă de sarcini utile malițioase, inclusiv:

• Hoți de informații: DeerStealer, RedLine, StealC
• Troieni de acces la distanță (RAT): NetSupport RAT, SectopRAT

Structura sa modulară permite CastleLoader să servească atât ca un dropper inițial, cât și ca un încărcător de a doua etapă, permițând atacatorilor să decupleze vectorul de infecție de sarcina utilă. Această separare complică eforturile de detectare și răspuns, îngreunând semnificativ atribuirea.

Obfuscare și evaziune: Cu un pas înainte

CastleLoader folosește mai multe tehnici avansate pentru a evita detectarea și a împiedica analiza:

• Injecție și împachetare de cod mort pentru a-i ascunde adevărata funcționalitate.
• Despachetarea în timpul execuției pentru a întârzia execuția până după ocolirea straturilor inițiale de scanare.
• Măsuri anti-sandboxing și ofuscare, comparabile cu încărcătoarele sofisticate precum SmokeLoader și IceID.

Odată despachetat, încărcătorul se conectează la serverul său de comandă și control (C2), descarcă module suplimentare și inițiază execuția acestora. Sarcinile utile sunt de obicei livrate ca fișiere executabile portabile încorporate cu shellcode, care lansează rutinele de bază ale încărcătorului.

Tactici și tehnici: Înșelăciunea în esența sa

Campaniile care folosesc CastleLoader se bazează în mare măsură pe inginerie socială, în special:

Atacuri de phishing cu tematică ClickFix
Victimele sunt atrase către domenii rău intenționate, deghizate în platforme de videoconferință, actualizări de browser, biblioteci pentru dezvoltatori sau portaluri de verificare a documentelor, prin intermediul rezultatelor căutării Google false. Aceste pagini conțin mesaje de eroare false sau solicitări CAPTCHA care instruiesc utilizatorii să execute comenzi PowerShell, inițiind fără să știe infecția. Atacurile ClickFix au devenit o tehnică răspândită, adoptată de numeroase grupuri de hackeri.

Repozitorii GitHub false
CastleLoader se răspândește și prin repozitorii care imită instrumente open-source legitime. Dezvoltatorii neavizați pot rula scripturi de instalare aparent de încredere din aceste repozitorii, infectându-le fără să știe sistemele. Această tactică valorifică legitimitatea percepută a GitHub-ului și încrederea obișnuită a dezvoltatorilor în repozitoriile deschise.

Aceste strategii reflectă tehnici utilizate în mod obișnuit de brokerii de acces inițial (IAB), consolidând poziția CastleLoader în cadrul unui lanț de aprovizionare mai larg pentru infractorii cibernetici.

Campanii suprapuse și extinderea acoperirii

Cercetătorii au documentat utilizarea CastleLoader și DeerStealer în cadrul unor campanii, observând că unele variante ale Hijack Loader au fost livrate prin intermediul ambelor instrumente. Deși actorii amenințători din spatele fiecărei campanii pot diferi, utilizarea suprapusă a instrumentelor de tip „loader” indică un ecosistem sau un model de serviciu comun între grupurile de infractori cibernetici.

Din mai 2025 încoace, s-a observat că CastleLoader utilizează șapte servere C2 unice, cu 1.634 de încercări de infectare înregistrate. Dintre acestea, 469 de dispozitive au fost compromise cu succes, rezultând o rată de succes a infecțiilor de 28,7%.

Infrastructura din spatele amenințării

Infrastructura C2 care susține CastleLoader este remarcabil de robustă. Panoul web asociat oferă control centralizat asupra sistemelor infectate, reflectând caracteristicile întâlnite în platformele malware-as-a-service. Acest lucru indică o operațiune experimentată și organizată în spatele dezvoltării și implementării încărcătorului.

Concluzii cheie: Amenințarea tot mai mare a CastleLoader

CastleLoader nu este doar un încărcător, ci un facilitator strategic al campaniilor malware mai ample.

Designul său modular, funcțiile anti-analiză și diversele tactici de livrare îl fac un instrument excelent pentru actorii care caută flexibilitate și discreție.

Prin abuzul de platforme de încredere precum GitHub și exploatarea comportamentului utilizatorilor prin inginerie socială, CastleLoader subliniază necesitatea unei vigilențe sporite și a unor strategii defensive atât în mediile de întreprindere, cât și în cele ale dezvoltatorilor.

Pe măsură ce această amenințare continuă să evolueze, apărătorii trebuie să rămână atenți la noile tactici și să își consolideze apărarea împotriva intrușilor care operează în culise pentru a alimenta criminalitatea cibernetică la scară largă.