Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер CastleLoader

Злонамерни софтвер CastleLoader

До Mezo. у Малваре
Преведи на:

У стално променљивом пејзажу сајбер претњи, нови програм за учитавање злонамерног софтвера назван CastleLoader појавио се као значајан алат у арсеналу сајбер криминалаца. Први пут откривен почетком 2025. године, CastleLoader је брзо стекао популарност због своје модуларности, напредних тактика избегавања и прилагодљивости. Истраживачи су посматрали његову улогу у вишеструким кампањама које користе крадљивце информација и тројанце за удаљени приступ (RAT), што га чини све већом забринутошћу у екосистему злонамерног софтвера као услуге (MaaS).

Свестраност у акцији: Моћан алат за дистрибуцију

CastleLoader је коришћен за испоруку широког спектра злонамерних корисних садржаја, укључујући:

  • Крадљивци информација: DeerStealer, RedLine, StealC
  • Тројанци за удаљени приступ (RAT): NetSupport RAT, SectopRAT

Његова модуларна структура омогућава CastleLoader-у да служи и као почетни учитавач и као учитавач друге фазе, омогућавајући нападачима да одвоје вектор инфекције од корисног терета. Ово одвајање компликује напоре за откривање и реаговање, што знатно отежава атрибуцију.

Замагљивање и избегавање: Остати корак испред

CastleLoader користи неколико напредних техника како би избегао откривање и отежао анализу:

  • Убризгавање и паковање мртвог кода ради прикривања његове праве функционалности.
  • Распакивање током извршавања ради одлагања извршавања док се не избегну почетни слојеви скенирања.
  • Мере против песковитих система и замагљивање, упоредиве са софистицираним учитавачима попут SmokeLoader-а и IceID-а.

Након распакивања, програм за учитавање података се повезује са својим командно-контролним (C2) сервером, преузима додатне модуле и покреће њихово извршавање. Корисни терет се обично испоручује као преносиви извршни фајлови уграђени са шел кодом, који покреће основне рутине програма за учитавање података.

Тактике и технике: Обмана у својој суштини

Кампање које користе CastleLoader у великој мери се ослањају на друштвени инжењеринг, посебно:

Фишинг напади са темом ClickFix-а
Жртве су намамљене на злонамерне домене, маскиране као платформе за видео конференције, ажурирања прегледача, библиотеке програмера или портали за верификацију докумената, путем заражених резултата претраге на Гуглу. Ове странице садрже лажне поруке о грешкама или CAPTCHA упите који упућују кориснике да извршавају PowerShell команде, несвесно покрећући инфекцију. ClickFix напади су постали широко распрострањена техника коју су усвојиле бројне хакерске групе.

Лажни GitHub репозиторијуми
CastleLoader се такође шири кроз репозиторијуме који имитирају легитимне алате отвореног кода. Неслутећи програмери могу покренути наизглед поуздане инсталационе скрипте из ових репозиторијума, несвесно заражавајући своје системе. Ова тактика капитализује на перципираној легитимности GitHub-а и уобичајеном поверењу програмера у отворене репозиторијуме.

Ове стратегије одражавају технике које обично користе посредници почетног приступа (IAB), јачајући позицију CastleLoader-а унутар ширег ланца снабдевања сајбер криминала.

Преклапање кампања и проширење досега

Истраживачи су документовали коришћење CastleLoader-а и DeerStealer-а у више кампања, напомињући да су неке варијанте Hijack Loader-а испоручене путем оба алата. Иако се актери претњи иза сваке кампање могу разликовати, преклапајућа употреба учитавача указује на заједнички екосистем или модел услуге међу сајбер криминалним групама.

Од маја 2025. године па надаље, примећено је да CastleLoader користи седам јединствених C2 сервера, са 1.634 забележена покушаја инфекције. Од њих је 469 уређаја успешно компромитовано, што је резултирало стопом успеха инфекције од 28,7%.

Инфраструктура која стоји иза претње

C2 инфраструктура која подржава CastleLoader је изузетно робусна. Њен повезани веб-базирани панел пружа централизовану контролу над зараженим системима, подсећајући на карактеристике које се налазе у платформама за малвер као услугу. Ово указује на искусан и организован рад иза развоја и имплементације програма за учитавање.

Кључни закључци: Растућа претња коју пружа CastleLoader

CastleLoader није само програм за учитавање, већ је стратешки омогућавач ширих кампања злонамерног софтвера.

Његов модуларни дизајн, анти-аналитичке функције и разноврсне тактике испоруке чине га главним алатом за актере претњи који траже флексибилност и прикривеност.

Злоупотребом поузданих платформи попут GitHub-а и искоришћавањем понашања корисника путем социјалног инжењеринга, CastleLoader наглашава потребу за побољшаном будношћу и одбрамбеним стратегијама у пословним и програмерским окружењима.

Како се ова претња наставља развијати, браниоци морају остати свесни нових тактика и ојачати одбрану од превараната који делују иза кулиса како би покренули сајбер криминал великих размера.

 

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,931
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...