Rabattoffert för flera licenser
Hotdatabas Skadlig programvara CastleLoader-skadlig programvara

CastleLoader-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

I det ständigt föränderliga landskapet av cyberhot har en ny skadlig programvara kallad CastleLoader framträtt som ett betydande verktyg i cyberbrottslingarnas arsenaler. CastleLoader upptäcktes först i början av 2025 och har snabbt fått fäste tack vare sin modularitet, avancerade undvikande taktiker och anpassningsförmåga. Forskare har observerat dess roll i flera kampanjer som använder informationsstölder och fjärråtkomsttrojaner (RAT), vilket gör det till ett växande problem i ekosystemet för skadlig kod som en tjänst (MaaS).

Mångsidighet i praktiken: Ett kraftfullt distributionsverktyg

CastleLoader har använts för att leverera en mängd olika skadliga nyttolaster, inklusive:

  • Informationstjuvar: DeerStealer, RedLine, StealC
  • Fjärråtkomsttrojaner (RAT): NetSupport RAT, SectopRAT

Dess modulära struktur gör att CastleLoader kan fungera både som en initial dropper och en andrastegsladdare, vilket gör det möjligt för angripare att frikoppla infektionsvektorn från nyttolasten. Denna separation komplicerar upptäckts- och responsinsatser, vilket gör attributionen betydligt svårare.

Förvirring och undvikande: Att ligga steget före

CastleLoader använder flera avancerade tekniker för att undvika upptäckt och hindra analys:

  • Död kodinjektion och packning för att dölja dess verkliga funktionalitet.
  • Uppackning under körning för att fördröja körningen tills efter att de första skanningslagren har undvikits.
  • Åtgärder mot sandlådor och obfuskation, jämförbara med sofistikerade laddare som SmokeLoader och IceID.

När den är upppackad kontaktar laddaren sin Command-and-Control (C2)-server, laddar ner ytterligare moduler och initierar deras körning. Nyttolasten levereras vanligtvis som portabla körbara filer inbäddade med skalkod, vilket startar laddarens kärnrutiner.

Taktik och tekniker: Bedrägeri i grunden

Kampanjerna som använder CastleLoader förlitar sig i hög grad på social ingenjörskonst, särskilt:

ClickFix-tema nätfiskeattacker
Offren lockas till skadliga domäner, som utger sig för att vara videokonferensplattformar, webbläsaruppdateringar, utvecklarbibliotek eller dokumentverifieringsportaler, genom förgiftade Googles sökresultat. Dessa sidor innehåller falska felmeddelanden eller CAPTCHA-prompter som instruerar användare att köra PowerShell-kommandon, vilket omedvetet initierar infektionen. ClickFix-attacker har blivit en utbredd teknik som antagits av många hackergrupper.

Falska GitHub-arkiv
CastleLoader sprids också genom arkiv som imiterar legitima verktyg med öppen källkod. Intet ont anande utvecklare kan köra till synes pålitliga installationsskript från dessa arkiv och omedvetet infektera deras system. Denna taktik utnyttjar den upplevda legitimiteten hos GitHub och utvecklares vanemässiga förtroende för öppna arkiv.

Dessa strategier återspeglar tekniker som vanligtvis används av Initial Access Brokers (IAB), vilket stärker CastleLoaders position inom en bredare leveranskedja för cyberkriminella.

Överlappande kampanjer och utökad räckvidd

Forskare har dokumenterat användningen av CastleLoader och DeerStealer över flera kampanjer och noterat att vissa varianter av Hijack Loader levererades via båda verktygen. Även om hotaktörerna bakom varje kampanj kan skilja sig åt, indikerar den överlappande användningen av laddare ett gemensamt ekosystem eller en gemensam tjänstemodell bland cyberkriminella grupper.

Från och med maj 2025 har CastleLoader observerats använda sju unika C2-servrar, med 1 634 registrerade infektionsförsök. Av dessa komprometterades 469 enheter, vilket resulterade i en infektionsfrekvens på 28,7 %.

Infrastrukturen bakom hotet

C2-infrastrukturen som stöder CastleLoader är anmärkningsvärt robust. Den tillhörande webbaserade panelen ger centraliserad kontroll över infekterade system, vilket påminner om funktioner som finns i malware-as-a-service-plattformar. Detta tyder på en erfaren och organiserad verksamhet bakom utvecklingen och driftsättningen av loadern.

Viktiga slutsatser: CastleLoaders växande hot

CastleLoader är inte bara en laddare, det är en strategisk möjliggörare för bredare skadlig kodkampanjer.

Dess modulära design, antianalysfunktioner och mångsidiga leveranstaktik gör den till ett utmärkt verktyg för hotaktörer som söker flexibilitet och stealth.

Genom att missbruka betrodda plattformar som GitHub och utnyttja användarbeteende genom social ingenjörskonst, understryker CastleLoader behovet av ökad vaksamhet och defensiva strategier i både företags- och utvecklarmiljöer.

I takt med att detta hot fortsätter att utvecklas måste försvarare förbli uppmärksamma på nya taktiker och stärka försvaret mot inblandade attacker som verkar bakom kulisserna för att driva storskalig cyberbrottslighet.

 

Trendigt

Mest sedda

Läser in...