Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware CastleLoader Malware

CastleLoader Malware

Nga MezoMalware
Përkthe në:

Në peizazhin gjithnjë në ndryshim të kërcënimeve kibernetike, një ngarkues i ri i malware-it i quajtur CastleLoader është shfaqur si një mjet i rëndësishëm në arsenalin e kriminelëve kibernetikë. I zbuluar për herë të parë në fillim të vitit 2025, CastleLoader ka fituar shpejt terren për shkak të modularitetit të tij, taktikave të përparuara të shmangies dhe përshtatshmërisë. Studiuesit kanë vëzhguar rolin e tij në fushata të shumta që përdorin vjedhës informacioni dhe Trojanë me Qasje në Distancë (RAT), duke e bërë atë një shqetësim në rritje në ekosistemin e malware-it si shërbim (MaaS).

Shkathtësia në Veprim: Një Mjet i Fuqishëm Shpërndarjeje

CastleLoader është përdorur për të ofruar një gamë të gjerë ngarkesash dashakeqe, duke përfshirë:

  • Vjedhësit e informacionit: DeerStealer, RedLine, StealC
  • Trojanë me Qasje në Distancë (RAT): NetSupport RAT, SectopRAT

Struktura e tij modulare i lejon CastleLoader të shërbejë si një ngarkues fillestar dhe si një ngarkues i fazës së dytë, duke u mundësuar sulmuesve të shkëputin vektorin e infeksionit nga ngarkesa. Kjo ndarje ndërlikon përpjekjet e zbulimit dhe reagimit, duke e bërë atribuimin dukshëm më të vështirë.

Errësim dhe Shmangie: Të Qëndrosh Një Hap Përpara

CastleLoader përdor disa teknika të përparuara për të shmangur zbulimin dhe për të penguar analizën:

  • Injektim dhe paketim i kodit të vdekur për të errësuar funksionalitetin e tij të vërtetë.
  • Shpaketimi gjatë kohës së ekzekutimit për të vonuar ekzekutimin deri pas shmangies së shtresave fillestare të skanimit.
  • Masat kundër "sandboxing" dhe bllokimit, të krahasueshme me ngarkues të sofistikuar si SmokeLoader dhe IceID.

Pasi të çpaketohet, ngarkuesi lidhet me serverin e tij Command-and-Control (C2), shkarkon module shtesë dhe fillon ekzekutimin e tyre. Ngarkesat zakonisht dorëzohen si ekzekutues portativë të integruar me shellcode, i cili nis rutinat kryesore të ngarkuesit.

Taktikat dhe Teknikat: Mashtrimi në Thelbin e Tij

Fushatat që përdorin CastleLoader mbështeten shumë në inxhinierinë sociale, veçanërisht:

Sulme Phishing me Temë ClickFix
Viktimat joshen drejt domeneve keqdashëse, të maskuara si platforma videokonferencash, përditësime shfletuesish, biblioteka zhvilluesish ose portale verifikimi dokumentesh, përmes rezultateve të kërkimit të helmuara në Google. Këto faqe përmbajnë mesazhe gabimi të rreme ose kërkesa CAPTCHA që udhëzojnë përdoruesit të ekzekutojnë komandat PowerShell, duke filluar pa vetëdije infeksionin. Sulmet ClickFix janë bërë një teknikë e përhapur e përdorur nga grupe të shumta hakerash.

Depozita të rreme të GitHub
CastleLoader përhapet gjithashtu përmes depove që imitojnë mjete legjitime me burim të hapur. Zhvilluesit e pavëmendshëm mund të ekzekutojnë skripte instalimi në dukje të besueshme nga këto depo, duke infektuar pa dashje sistemet e tyre. Kjo taktikë përfiton nga legjitimiteti i perceptuar i GitHub dhe besimi i zakonshëm i zhvilluesve në depot e hapura.

Këto strategji pasqyrojnë teknikat e përdorura zakonisht nga Ndërmjetësit e Qasjes Fillestare (IAB), duke përforcuar pozicionin e CastleLoader brenda një zinxhiri më të gjerë furnizimi të krimit kibernetik.

Fushatat e mbivendosura dhe zgjerimi i shtrirjes

Studiuesit kanë dokumentuar përdorimin ndërfushatar të CastleLoader dhe DeerStealer, duke vënë në dukje se disa variante të Hijack Loader u ofruan nëpërmjet të dy mjeteve. Ndërsa aktorët kërcënues pas secilës fushatë mund të ndryshojnë, përdorimi i mbivendosur i ngarkuesve tregon një ekosistem ose model shërbimi të përbashkët midis grupeve kiberkriminale.

Që nga maji i vitit 2025 e tutje, CastleLoader është vërejtur duke përdorur shtatë servera unikë C2, me 1,634 përpjekje infektimi të regjistruara. Nga këto, 469 pajisje u kompromentuan me sukses, duke rezultuar në një shkallë suksesi të infeksionit prej 28.7%.

Infrastruktura që fshihet pas kërcënimit

Infrastruktura C2 që mbështet CastleLoader është dukshëm e fuqishme. Paneli i saj i lidhur me internetin ofron kontroll të centralizuar mbi sistemet e infektuara, duke i bërë jehonë karakteristikave që gjenden në platformat malware-as-a-service. Kjo tregon një operacion të organizuar dhe me përvojë pas zhvillimit dhe vendosjes së ngarkuesit.

Përmbledhje kryesore: Kërcënimi në rritje i CastleLoader

CastleLoader nuk është vetëm një program ngarkimi, por është një mundësues strategjik i fushatave më të gjera të malware-it.

Dizajni i tij modular, veçoritë kundër analizës dhe taktikat e larmishme të shpërndarjes e bëjnë atë një mjet kryesor për aktorët kërcënues që kërkojnë fleksibilitet dhe fshehtësi.

Duke abuzuar me platforma të besueshme si GitHub dhe duke shfrytëzuar sjelljen e përdoruesit përmes inxhinierisë sociale, CastleLoader nënvizon nevojën për vigjilencë të shtuar dhe strategji mbrojtëse si në mjediset e ndërmarrjeve ashtu edhe në ato të zhvilluesve.

Ndërsa ky kërcënim vazhdon të evoluojë, mbrojtësit duhet të qëndrojnë vigjilentë ndaj taktikave të reja dhe të forcojnë mbrojtjen kundër ngarkuesve që veprojnë prapa skenave për të fuqizuar krimin kibernetik në shkallë të gjerë.

 

Në trend

Më e shikuara

Po ngarkohet...