Шкідливе програмне забезпечення CastleLoader
У постійно мінливому ландшафті кіберзагроз новий завантажувач шкідливого програмного забезпечення під назвою CastleLoader став важливим інструментом в арсеналах кіберзлочинців. Вперше виявлений на початку 2025 року, CastleLoader швидко набрав обертів завдяки своїй модульності, передовим тактикам ухилення та адаптивності. Дослідники спостерігали його роль у численних кампаніях, що використовують викрадачів інформації та троянів віддаленого доступу (RAT), що робить його зростаючою проблемою в екосистемі шкідливого програмного забезпечення як послуги (MaaS).
Зміст
Універсальність у дії: потужний інструмент дистрибуції
CastleLoader використовувався для доставки широкого спектру шкідливих корисних навантажень, зокрема:
- Викрадачі інформації: DeerStealer, RedLine, StealC
- Трояни віддаленого доступу (RAT): NetSupport RAT, SectopRAT
Його модульна структура дозволяє CastleLoader служити як початковим завантажувачем, так і завантажувачем другого етапу, що дає змогу зловмисникам відокремити вектор зараження від корисного навантаження. Таке розділення ускладнює виявлення та реагування, що значно ускладнює атрибуцію.
Заплутування та ухилення: бути на крок попереду
CastleLoader використовує кілька передових методів, щоб уникнути виявлення та ускладнити аналіз:
- Впровадження та пакування мертвого коду для приховування його справжньої функціональності.
- Розпакування під час виконання для затримки виконання до моменту уникнення початкових шарів сканування.
- Заходи проти пісочниці та обфускація, порівнянні зі складними завантажувачами, такими як SmokeLoader та IceID.
Після розпакування завантажувач з'єднується зі своїм сервером командування та управління (C2), завантажує додаткові модулі та ініціює їх виконання. Корисне навантаження зазвичай постачається як портативні виконувані файли, вбудовані в шелл-код, який запускає основні процедури завантажувача.
Тактика та техніка: обман у своїй основі
Кампанії, що використовують CastleLoader, значною мірою залежать від соціальної інженерії, зокрема:
Фішингові атаки на тему ClickFix
Жертв заманюють на шкідливі домени, маскуючись під платформи відеоконференцій, оновлення браузерів, бібліотеки розробників або портали перевірки документів, через заражені результати пошуку Google. Ці сторінки містять фальшиві повідомлення про помилки або запити CAPTCHA, які вказують користувачам виконувати команди PowerShell, несвідомо ініціюючи зараження. Атаки ClickFix стали поширеною технікою, яку використовують численні хакерські групи.
Фальшиві репозиторії GitHub
CastleLoader також поширюється через репозиторії, що імітують легітимні інструменти з відкритим кодом. Нічого не підозрюючі розробники можуть запускати, здавалося б, надійні скрипти встановлення з цих репозиторіїв, мимоволі заражаючи свої системи. Ця тактика використовує уявну легітимність GitHub та звичну довіру розробників до відкритих репозиторіїв.
Ці стратегії відображають методи, які зазвичай використовуються брокерами початкового доступу (IAB), зміцнюючи позиції CastleLoader у ширшому ланцюжку поставок кіберзлочинців.
Перекривання кампаній та розширення охоплення
Дослідники задокументували використання CastleLoader та DeerStealer у різних кампаніях, зазначивши, що деякі варіанти Hijack Loader доставлялися через обидва інструменти. Хоча зловмисники, що стоять за кожною кампанією, можуть відрізнятися, перекриття використання завантажувачів вказує на спільну екосистему або модель обслуговування серед кіберзлочинних груп.
З травня 2025 року було помічено, що CastleLoader використовує сім унікальних серверів C2, і було зафіксовано 1634 спроби зараження. З них 469 пристроїв було успішно скомпрометовано, що призвело до успішного зараження у 28,7%.
Інфраструктура, що стоїть за загрозою
Інфраструктура C2, що підтримує CastleLoader, є надзвичайно надійною. Пов'язана з нею веб-панель забезпечує централізований контроль над зараженими системами, що повторює функції, знайдені в платформах «шкідливе програмне забезпечення як послуга». Це вказує на досвідчену та організовану роботу, що стоїть за розробкою та розгортанням завантажувача.
Ключові висновки: Зростаюча загроза від CastleLoader
CastleLoader — це не просто завантажувач, це стратегічний інструмент для ширших кампаній зі шкідливим програмним забезпеченням.
Його модульна конструкція, функції антианалізу та різноманітні тактики доставки роблять його основним інструментом для зловмисників, які прагнуть гнучкості та прихованості.
Зловживаючи довіреними платформами, такими як GitHub, та використовуючи поведінку користувачів за допомогою соціальної інженерії, CastleLoader підкреслює необхідність посиленої пильності та захисних стратегій як у корпоративному, так і в розробницькому середовищі.
Оскільки ця загроза продовжує розвиватися, захисники повинні бути уважними до нових тактик та посилювати захист від зловмисників, які діють за лаштунками, щоб забезпечити масштабну кіберзлочинність.
