CastleLoader தீம்பொருள்

தொடர்ந்து வளர்ந்து வரும் சைபர் அச்சுறுத்தல்களின் சூழலில், CastleLoader என அழைக்கப்படும் ஒரு புதிய மால்வேர் லோடர், சைபர் குற்றவாளிகளின் ஆயுதக் களஞ்சியங்களில் ஒரு குறிப்பிடத்தக்க கருவியாக உருவெடுத்துள்ளது. 2025 ஆம் ஆண்டின் தொடக்கத்தில் முதன்முதலில் கண்டறியப்பட்ட CastleLoader, அதன் மட்டுப்படுத்தல், மேம்பட்ட ஏய்ப்பு தந்திரோபாயங்கள் மற்றும் தகவமைப்புத் திறன் காரணமாக விரைவாக ஈர்க்கப்பட்டது. தகவல் திருடர்கள் மற்றும் ரிமோட் அக்சஸ் ட்ரோஜான்களை (RATகள்) பயன்படுத்தும் பல பிரச்சாரங்களில் அதன் பங்கை ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர், இது மால்வேர்-ஆஸ்-எ-சர்வீஸ் (MaaS) சுற்றுச்சூழல் அமைப்பில் வளர்ந்து வரும் கவலையாக மாறியுள்ளது.

செயல்பாட்டில் பல்துறை: ஒரு சக்திவாய்ந்த விநியோக கருவி

CastleLoader பல்வேறு வகையான தீங்கிழைக்கும் பேலோடுகளை வழங்கப் பயன்படுத்தப்படுகிறது, அவற்றுள்:

• தகவல் திருடர்கள்: டீர்ஸ்டீலர், ரெட்லைன், ஸ்டீல்சி
• தொலைநிலை அணுகல் ட்ரோஜன்கள் (RATகள்): NetSupport RAT, SectopRAT

அதன் மட்டு அமைப்பு CastleLoader ஐ ஆரம்ப டிராப்பர் மற்றும் இரண்டாம் நிலை ஏற்றி இரண்டாகவும் செயல்பட அனுமதிக்கிறது, இதனால் தாக்குபவர்கள் தொற்று வெக்டரை பேலோடில் இருந்து துண்டிக்க முடியும். இந்தப் பிரிப்பு கண்டறிதல் மற்றும் மறுமொழி முயற்சிகளை சிக்கலாக்குகிறது, இதனால் பண்புக்கூறு கணிசமாக கடினமாகிறது.

குழப்பமும் தவிர்ப்பும்: ஒரு படி மேலே இருத்தல்

கண்டறிதலைத் தவிர்க்கவும் பகுப்பாய்வைத் தடுக்கவும் CastleLoader பல மேம்பட்ட நுட்பங்களைப் பயன்படுத்துகிறது:

• அதன் உண்மையான செயல்பாட்டை மறைக்க டெட் கோட் ஊசி மற்றும் பேக்கிங்.
• ஆரம்ப ஸ்கேனிங் அடுக்குகளைத் தவிர்த்துவிட்டு, செயல்படுத்தலை தாமதப்படுத்த, இயக்க நேரத் திறப்பு.
• SmokeLoader மற்றும் IceID போன்ற அதிநவீன ஏற்றிகளுடன் ஒப்பிடக்கூடிய, சாண்ட்பாக்ஸிங் எதிர்ப்பு நடவடிக்கைகள் மற்றும் குழப்பம்.

பேக் திறக்கப்பட்டதும், ஏற்றி அதன் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்தை அடைந்து, கூடுதல் தொகுதிகளைப் பதிவிறக்கி, அவற்றின் செயல்பாட்டைத் தொடங்குகிறது. பேலோடுகள் பொதுவாக ஷெல்கோடுடன் உட்பொதிக்கப்பட்ட சிறிய இயங்கக்கூடிய கோப்புகளாக வழங்கப்படுகின்றன, இது ஏற்றியின் முக்கிய நடைமுறைகளைத் தொடங்குகிறது.

தந்திரோபாயங்களும் நுட்பங்களும்: அதன் மையத்தில் ஏமாற்றுதல்

CastleLoader ஐப் பயன்படுத்தும் பிரச்சாரங்கள் சமூக பொறியியலை பெரிதும் நம்பியுள்ளன, குறிப்பாக:

ClickFix-கருப்பொருள் ஃபிஷிங் தாக்குதல்கள்
பாதிக்கப்பட்டவர்கள், விஷம் கலந்த கூகிள் தேடல் முடிவுகள் மூலம், வீடியோ கான்பரன்சிங் தளங்கள், உலாவி புதுப்பிப்புகள், டெவலப்பர் நூலகங்கள் அல்லது ஆவண சரிபார்ப்பு போர்டல்கள் என வேடமிட்டு, தீங்கிழைக்கும் டொமைன்களுக்கு ஈர்க்கப்படுகிறார்கள். இந்தப் பக்கங்களில் போலியான பிழைச் செய்திகள் அல்லது CAPTCHA தூண்டுதல்கள் உள்ளன, அவை பயனர்களை PowerShell கட்டளைகளை இயக்க அறிவுறுத்துகின்றன, இதனால் அவர்கள் அறியாமலேயே தொற்றுநோயைத் தொடங்குகிறார்கள். ClickFix தாக்குதல்கள் ஏராளமான ஹேக்கர் குழுக்களால் ஏற்றுக்கொள்ளப்பட்ட ஒரு பரவலான நுட்பமாக மாறிவிட்டன.

போலியான GitHub களஞ்சியங்கள்
CastleLoader முறையான திறந்த மூல கருவிகளைப் பிரதிபலிக்கும் களஞ்சியங்கள் வழியாகவும் பரவுகிறது. சந்தேகத்திற்கு இடமில்லாத டெவலப்பர்கள் இந்த களஞ்சியங்களிலிருந்து நம்பகமான நிறுவல் ஸ்கிரிப்ட்களை இயக்கலாம், அறியாமலேயே அவர்களின் அமைப்புகளைப் பாதிக்கலாம். இந்த தந்திரோபாயம் GitHub இன் உணரப்பட்ட சட்டபூர்வமான தன்மையையும், திறந்த களஞ்சியங்களில் டெவலப்பர்களின் வழக்கமான நம்பிக்கையையும் பயன்படுத்திக் கொள்கிறது.

இந்த உத்திகள், தொடக்க அணுகல் தரகர்களால் (IABs) பொதுவாகப் பயன்படுத்தப்படும் நுட்பங்களைப் பிரதிபலிக்கின்றன, இது ஒரு பரந்த சைபர் குற்றவியல் விநியோகச் சங்கிலிக்குள் CastleLoader இன் நிலையை வலுப்படுத்துகிறது.

பிரச்சாரங்களை ஒன்றுடன் ஒன்று இணைத்தல் மற்றும் விரிவாக்குதல்

ஆராய்ச்சியாளர்கள் CastleLoader மற்றும் DeerStealer ஆகியவற்றின் குறுக்கு பிரச்சார பயன்பாட்டை ஆவணப்படுத்தியுள்ளனர், Hijack Loader இன் சில வகைகள் இரண்டு கருவிகள் வழியாகவும் வழங்கப்பட்டன என்பதைக் குறிப்பிட்டுள்ளனர். ஒவ்வொரு பிரச்சாரத்திற்கும் பின்னால் உள்ள அச்சுறுத்தல் நடிகர்கள் வேறுபடலாம் என்றாலும், லோடர்களின் ஒன்றுடன் ஒன்று பயன்பாடு சைபர் குற்றவியல் குழுக்களிடையே பகிரப்பட்ட சுற்றுச்சூழல் அமைப்பு அல்லது சேவை மாதிரியைக் குறிக்கிறது.

மே 2025 முதல், CastleLoader ஏழு தனித்துவமான C2 சேவையகங்களைப் பயன்படுத்துவதைக் கண்டறிந்துள்ளது, இதில் 1,634 தொற்று முயற்சிகள் பதிவு செய்யப்பட்டுள்ளன. இவற்றில், 469 சாதனங்கள் வெற்றிகரமாக சமரசம் செய்யப்பட்டன, இதன் விளைவாக தொற்று வெற்றி விகிதம் 28.7% ஆகும்.

அச்சுறுத்தலுக்குப் பின்னால் உள்ள உள்கட்டமைப்பு

CastleLoader-ஐ ஆதரிக்கும் C2 உள்கட்டமைப்பு குறிப்பிடத்தக்க வகையில் வலுவானது. அதனுடன் தொடர்புடைய வலை அடிப்படையிலான குழு, பாதிக்கப்பட்ட அமைப்புகளின் மீது மையப்படுத்தப்பட்ட கட்டுப்பாட்டை வழங்குகிறது, இது மால்வேர்-ஆஸ்-எ-சேவை தளங்களில் காணப்படும் அம்சங்களை எதிரொலிக்கிறது. இது ஏற்றியின் மேம்பாடு மற்றும் பயன்பாட்டிற்குப் பின்னால் உள்ள அனுபவம் வாய்ந்த மற்றும் ஒழுங்கமைக்கப்பட்ட செயல்பாட்டைக் குறிக்கிறது.

முக்கிய குறிப்புகள்: CastleLoader இன் வளர்ந்து வரும் அச்சுறுத்தல்

CastleLoader வெறும் ஒரு ஏற்றி மட்டுமல்ல, பரந்த தீம்பொருள் பிரச்சாரங்களுக்கான ஒரு மூலோபாய செயல்படுத்தியாகும்.

அதன் மட்டு வடிவமைப்பு, பகுப்பாய்வு எதிர்ப்பு அம்சங்கள் மற்றும் மாறுபட்ட விநியோக உத்திகள் நெகிழ்வுத்தன்மை மற்றும் திருட்டுத்தனத்தைத் தேடும் அச்சுறுத்தல் நடிகர்களுக்கு இதை ஒரு முக்கிய கருவியாக ஆக்குகின்றன.

GitHub போன்ற நம்பகமான தளங்களை துஷ்பிரயோகம் செய்வதன் மூலமும், சமூக பொறியியல் மூலம் பயனர் நடத்தையைப் பயன்படுத்துவதன் மூலமும், CastleLoader நிறுவனம் மற்றும் டெவலப்பர் சூழல்களில் மேம்பட்ட விழிப்புணர்வு மற்றும் தற்காப்பு உத்திகளின் அவசியத்தை அடிக்கோடிட்டுக் காட்டுகிறது.

இந்த அச்சுறுத்தல் தொடர்ந்து உருவாகி வருவதால், பாதுகாவலர்கள் புதிய தந்திரோபாயங்கள் குறித்து விழிப்புடன் இருக்க வேண்டும் மற்றும் பெரிய அளவிலான சைபர் குற்றங்களை ஆற்றுவதற்கு திரைக்குப் பின்னால் செயல்படும் லோடர்களுக்கு எதிரான பாதுகாப்பை வலுப்படுத்த வேண்டும்.