Вредоносное ПО CastleLoader

В постоянно меняющемся ландшафте киберугроз новый загрузчик вредоносных программ, получивший название CastleLoader, стал важным инструментом в арсенале киберпреступников. Впервые обнаруженный в начале 2025 года, CastleLoader быстро завоевал популярность благодаря своей модульности, передовым тактикам обхода блокировок и адаптивности. Исследователи отметили его роль в многочисленных кампаниях по краже информации и троянах удалённого доступа (RAT), что делает его всё более опасным в экосистеме вредоносных программ как услуг (MaaS).

Универсальность в действии: мощный инструмент дистрибуции

CastleLoader использовался для доставки широкого спектра вредоносных нагрузок, включая:

• Похитители информации: DeerStealer, RedLine, StealC
• Трояны удаленного доступа (RAT): NetSupport RAT, SectopRAT

Модульная структура CastleLoader позволяет ему выступать как в роли первоначального загрузчика, так и в роли загрузчика второго этапа, что позволяет злоумышленникам отделить вектор заражения от полезной нагрузки. Такое разделение усложняет обнаружение и реагирование, значительно затрудняя атрибуцию.

Запутывание и уклонение: оставаться на шаг впереди

CastleLoader использует несколько передовых методов, чтобы избежать обнаружения и затруднить анализ:

• Внедрение и упаковка мертвого кода с целью скрыть его истинную функциональность.
• Распаковка во время выполнения для отсрочки выполнения до тех пор, пока не будут пройдены начальные уровни сканирования.
• Меры по борьбе с песочницей и обфускацией, сопоставимые со сложными загрузчиками, такими как SmokeLoader и IceID.

После распаковки загрузчик обращается к своему командно-контрольному серверу (C2), загружает дополнительные модули и инициирует их выполнение. Полезная нагрузка обычно поставляется в виде портативных исполняемых файлов со встроенным шелл-кодом, который запускает основные процедуры загрузчика.

Тактика и приемы: обман в основе

Кампании, использующие CastleLoader, в значительной степени полагаются на социальную инженерию, в частности:

Фишинговые атаки с использованием ClickFix
Жертвы перенаправляются на вредоносные домены, маскирующиеся под платформы видеоконференций, обновления браузера, библиотеки разработчиков или порталы проверки документов, через поддельные результаты поиска Google. Эти страницы содержат поддельные сообщения об ошибках или запросы CAPTCHA, которые предлагают пользователям выполнить команды PowerShell, неосознанно запуская заражение. Атаки ClickFix стали распространённым методом, применяемым многочисленными хакерскими группами.

Поддельные репозитории GitHub
CastleLoader также распространяется через репозитории, имитирующие легитимные инструменты с открытым исходным кодом. Ничего не подозревающие разработчики могут запускать, казалось бы, надёжные установочные скрипты из этих репозиториев, невольно заражая свои системы. Эта тактика использует мнимую легитимность GitHub и привычное доверие разработчиков к открытым репозиториям.

Эти стратегии отражают методы, обычно используемые брокерами первоначального доступа (IAB), что укрепляет позиции CastleLoader в более широкой цепочке поставок киберпреступников.

Перекрывающиеся кампании и расширение охвата

Исследователи задокументировали кросс-кампании CastleLoader и DeerStealer, отметив, что некоторые варианты Hijack Loader распространялись через оба инструмента. Хотя злоумышленники, стоящие за каждой кампанией, могут различаться, перекрывающееся использование загрузчиков указывает на общую экосистему или модель обслуживания среди киберпреступных группировок.

С мая 2025 года CastleLoader замечен на семи отдельных серверах управления (C2), зафиксировано 1634 попытки заражения. Из них 469 устройств были успешно скомпрометированы, что соответствует уровню успешности заражения 28,7%.

Инфраструктура, стоящая за угрозой

Инфраструктура C2, поддерживающая CastleLoader, отличается высокой надежностью. Соответствующая веб-панель управления обеспечивает централизованное управление зараженными системами, аналогично функциям платформ «вредоносное ПО как услуга». Это свидетельствует о высокой квалификации и организованности разработчиков и разработчиков загрузчика.

Основные выводы: растущая угроза CastleLoader

CastleLoader — это не просто загрузчик, это стратегическое средство реализации более масштабных вредоносных кампаний.

Модульная конструкция, функции противодействия анализу и разнообразные тактики доставки делают его важнейшим инструментом для злоумышленников, которым требуются гибкость и скрытность.

Злоупотребляя такими надежными платформами, как GitHub, и эксплуатируя поведение пользователей с помощью социальной инженерии, CastleLoader подчеркивает необходимость усиления бдительности и применения защитных стратегий как в корпоративной среде, так и в среде разработчиков.

Поскольку эта угроза продолжает развиваться, защитникам следует быть бдительными к новым тактикам и усиливать защиту от загрузчиков, которые действуют за кулисами и обеспечивают осуществление крупномасштабных киберпреступлений.