Malvér CastleLoader

V neustále sa meniacom prostredí kybernetických hrozieb sa nový zavádzač malvéru s názvom CastleLoader stal významným nástrojom v arzenáli kyberzločincov. CastleLoader, ktorý bol prvýkrát zistený začiatkom roka 2025, si rýchlo získal popularitu vďaka svojej modularite, pokročilým taktikám úniku a prispôsobivosti. Výskumníci pozorovali jeho úlohu vo viacerých kampaniach, ktoré využívajú kradcov informácií a trójske kone pre vzdialený prístup (RAT), čo z neho robí rastúci problém v ekosystéme malvéru ako služby (MaaS).

Všestrannosť v praxi: Výkonný distribučný nástroj

CastleLoader sa používa na doručovanie širokej škály škodlivých dát vrátane:

• Zlodeji informácií: DeerStealer, RedLine, StealC
• Trójske kone pre vzdialený prístup (RAT): NetSupport RAT, SectopRAT

Jeho modulárna štruktúra umožňuje CastleLoaderu slúžiť ako počiatočný zavádzač aj ako zavádzač druhej fázy, čo útočníkom umožňuje oddeliť vektor infekcie od užitočného zaťaženia. Toto oddelenie komplikuje detekciu a reakciu, čím sa výrazne sťažuje priradenie.

Zahmlievanie a únik: Buďte o krok vpred

CastleLoader používa niekoľko pokročilých techník, aby sa predišlo detekcii a sťažil analýzu:

• Vkladanie a balenie mŕtveho kódu na zakrytie jeho skutočnej funkčnosti.
• Rozbalenie za behu na odloženie vykonávania až po obídení počiatočných vrstiev skenovania.
• Opatrenia proti sandboxingu a obfuscation, porovnateľné so sofistikovanými zavádzačmi ako SmokeLoader a IceID.

Po rozbalení sa zavádzací program spojí so svojím serverom Command-and-Control (C2), stiahne ďalšie moduly a spustí ich vykonávanie. Užitočné dáta sa zvyčajne dodávajú ako prenosné spustiteľné súbory s vloženým shellcode, ktorý spúšťa základné rutiny zavádzacieho programu.

Taktiky a techniky: Podvod v jadre

Kampane používajúce CastleLoader sa vo veľkej miere spoliehajú na sociálne inžinierstvo, najmä:

Phishingové útoky s tematikou ClickFix
Obete sú lákané na škodlivé domény, ktoré sa maskujú ako platformy pre videokonferencie, aktualizácie prehliadačov, knižnice pre vývojárov alebo portály na overovanie dokumentov, prostredníctvom zamotaných výsledkov vyhľadávania Google. Tieto stránky obsahujú falošné chybové hlásenia alebo výzvy CAPTCHA, ktoré používateľom nariaďujú vykonávať príkazy PowerShell, čím nevedomky spúšťajú infekciu. Útoky ClickFix sa stali rozšírenou technikou, ktorú prijímajú mnohé hackerské skupiny.

Falošné repozitáre GitHubu
CastleLoader sa šíri aj prostredníctvom repozitárov, ktoré napodobňujú legitímne nástroje s otvoreným zdrojovým kódom. Nič netušiaci vývojári môžu spúšťať zdanlivo dôveryhodné inštalačné skripty z týchto repozitárov a nevedomky tak infikovať svoje systémy. Táto taktika využíva vnímanú legitimitu GitHubu a zvyčajnú dôveru vývojárov v otvorené repozitáre.

Tieto stratégie odrážajú techniky bežne používané sprostredkovateľmi počiatočného prístupu (IAB), čím posilňujú pozíciu spoločnosti CastleLoader v rámci širšieho dodávateľského reťazca kyberkriminality.

Prekrývajúce sa kampane a rozširovanie dosahu

Výskumníci zdokumentovali používanie nástrojov CastleLoader a DeerStealer v rámci viacerých kampaní a poznamenali, že niektoré varianty nástroja Hijack Loader boli distribuované prostredníctvom oboch nástrojov. Hoci sa aktéri hrozby stojaci za jednotlivými kampaňami môžu líšiť, prekrývajúce sa používanie zavádzacích nástrojov naznačuje spoločný ekosystém alebo model služieb medzi skupinami kybernetických zločincov.

Od mája 2025 bolo pozorované, že CastleLoader využíva sedem unikátnych serverov C2, pričom bolo zaznamenaných 1 634 pokusov o infekciu. Z nich bolo úspešne napadnutých 469 zariadení, čo viedlo k úspešnosti infekcie 28,7 %.

Infraštruktúra stojaca za hrozbou

Infraštruktúra C2 podporujúca CastleLoader je pozoruhodne robustná. Jej pridružený webový panel poskytuje centralizovanú kontrolu nad infikovanými systémami, čo pripomína funkcie nachádzajúce sa v platformách malware-as-a-service. To svedčí o skúsenej a organizovanej operácii, ktorá stojí za vývojom a nasadením zavádzača.

Kľúčové poznatky: Rastúca hrozba CastleLoaderu

CastleLoader nie je len zavádzač, je to strategický nástroj na umožnenie širších malwarových kampaní.

Jeho modulárny dizajn, funkcie proti analýze a rozmanité taktiky doručovania z neho robia hlavný nástroj pre aktérov hrozby, ktorí hľadajú flexibilitu a nenápadnosť.

Zneužívaním dôveryhodných platforiem, ako je GitHub, a využívaním správania používateľov prostredníctvom sociálneho inžinierstva CastleLoader zdôrazňuje potrebu zvýšenej ostražitosti a obranných stratégií v podnikovom aj vývojárskom prostredí.

Keďže sa táto hrozba neustále vyvíja, obrancovia musia zostať ostražití voči novým taktikám a posilniť obranu proti útočníkom, ktorí pôsobia v zákulisí a poháňajú rozsiahlu kybernetickú kriminalitu.