Phần mềm độc hại CastleLoader

Trong bối cảnh các mối đe dọa mạng đang không ngừng biến đổi, một trình tải phần mềm độc hại mới có tên CastleLoader đã nổi lên như một công cụ quan trọng trong kho vũ khí của tội phạm mạng. Được phát hiện lần đầu tiên vào đầu năm 2025, CastleLoader đã nhanh chóng thu hút sự chú ý nhờ tính mô-đun, chiến thuật né tránh tiên tiến và khả năng thích ứng. Các nhà nghiên cứu đã quan sát thấy vai trò của nó trong nhiều chiến dịch triển khai phần mềm đánh cắp thông tin và Trojan truy cập từ xa (RAT), khiến nó trở thành mối lo ngại ngày càng tăng trong hệ sinh thái phần mềm độc hại dưới dạng dịch vụ (MaaS).

Tính linh hoạt trong hành động: Một công cụ phân phối mạnh mẽ

CastleLoader đã được sử dụng để phân phối nhiều loại phần mềm độc hại, bao gồm:

• Những kẻ đánh cắp thông tin: DeerStealer, RedLine, StealC
• Trojan truy cập từ xa (RAT): NetSupport RAT, SectopRAT

Cấu trúc mô-đun của CastleLoader cho phép nó vừa đóng vai trò là trình thả ban đầu vừa là trình tải giai đoạn hai, cho phép kẻ tấn công tách vectơ lây nhiễm khỏi tải trọng. Sự tách biệt này làm phức tạp các nỗ lực phát hiện và ứng phó, khiến việc xác định danh tính trở nên khó khăn hơn đáng kể.

Sự che giấu và né tránh: Luôn đi trước một bước

CastleLoader sử dụng một số kỹ thuật tiên tiến để tránh bị phát hiện và cản trở việc phân tích:

• Chèn mã chết và đóng gói để che giấu chức năng thực sự của nó.
• Giải nén thời gian chạy để trì hoãn việc thực thi cho đến khi tránh được các lớp quét ban đầu.
• Các biện pháp chống sandbox và làm tối nghĩa, tương tự như các trình tải phức tạp như SmokeLoader và IceID.

Sau khi giải nén, trình tải sẽ kết nối đến máy chủ Command-and-Control (C2) của nó, tải xuống các mô-đun bổ sung và bắt đầu thực thi chúng. Các payload thường được phân phối dưới dạng tệp thực thi di động được nhúng mã shell, mã này sẽ khởi chạy các chương trình lõi của trình tải.

Chiến thuật và Kỹ thuật: Lừa dối ở cốt lõi của nó

Các chiến dịch sử dụng CastleLoader phụ thuộc rất nhiều vào kỹ thuật xã hội, đặc biệt là:

Các cuộc tấn công lừa đảo theo chủ đề ClickFix
Nạn nhân bị dụ đến các tên miền độc hại, ngụy trang thành nền tảng hội nghị truyền hình, bản cập nhật trình duyệt, thư viện dành cho nhà phát triển hoặc cổng thông tin xác minh tài liệu, thông qua kết quả tìm kiếm Google bị nhiễm độc. Các trang này chứa thông báo lỗi giả mạo hoặc lời nhắc CAPTCHA hướng dẫn người dùng thực thi lệnh PowerShell, vô tình kích hoạt lây nhiễm. Các cuộc tấn công ClickFix đã trở thành một kỹ thuật phổ biến được nhiều nhóm tin tặc áp dụng.

Kho lưu trữ GitHub giả mạo
CastleLoader cũng lây lan qua các kho lưu trữ giả mạo các công cụ mã nguồn mở hợp pháp. Các nhà phát triển thiếu cảnh giác có thể chạy các tập lệnh cài đặt có vẻ đáng tin cậy từ những kho lưu trữ này, vô tình lây nhiễm hệ thống của họ. Chiến thuật này lợi dụng tính hợp pháp được cho là của GitHub và lòng tin thường trực của các nhà phát triển vào các kho lưu trữ mở.

Các chiến lược này phản ánh các kỹ thuật thường được các Nhà môi giới truy cập ban đầu (IAB) sử dụng, củng cố vị thế của CastleLoader trong chuỗi cung ứng tội phạm mạng rộng lớn hơn.

Các chiến dịch chồng chéo và mở rộng phạm vi tiếp cận

Các nhà nghiên cứu đã ghi nhận việc sử dụng CastleLoader và DeerStealer trên nhiều chiến dịch, lưu ý rằng một số biến thể của Hijack Loader đã được phát tán thông qua cả hai công cụ. Mặc dù các tác nhân đe dọa đứng sau mỗi chiến dịch có thể khác nhau, việc sử dụng trùng lặp các trình tải cho thấy một hệ sinh thái hoặc mô hình dịch vụ chung giữa các nhóm tội phạm mạng.

Từ tháng 5 năm 2025 trở đi, CastleLoader đã được phát hiện sử dụng bảy máy chủ C2 riêng biệt, với 1.634 lần xâm nhập được ghi nhận. Trong số đó, 469 thiết bị đã bị xâm nhập thành công, đạt tỷ lệ thành công là 28,7%.

Cơ sở hạ tầng đằng sau mối đe dọa

Cơ sở hạ tầng C2 hỗ trợ CastleLoader đặc biệt mạnh mẽ. Bảng điều khiển dựa trên web đi kèm cung cấp khả năng kiểm soát tập trung đối với các hệ thống bị nhiễm, tương tự các tính năng thường thấy trong các nền tảng phần mềm độc hại dưới dạng dịch vụ. Điều này cho thấy một quy trình vận hành bài bản và chuyên nghiệp đằng sau quá trình phát triển và triển khai trình tải.

Những điểm chính: Mối đe dọa ngày càng tăng của CastleLoader

CastleLoader không chỉ là một công cụ tải phần mềm độc hại mà còn là công cụ chiến lược hỗ trợ các chiến dịch phần mềm độc hại rộng hơn.

Thiết kế dạng mô-đun, tính năng chống phân tích và chiến thuật triển khai đa dạng khiến nó trở thành công cụ chính cho những tác nhân đe dọa tìm kiếm sự linh hoạt và bí mật.

Bằng cách lạm dụng các nền tảng đáng tin cậy như GitHub và khai thác hành vi của người dùng thông qua kỹ thuật xã hội, CastleLoader nhấn mạnh nhu cầu tăng cường cảnh giác và chiến lược phòng thủ trong cả môi trường doanh nghiệp và nhà phát triển.

Khi mối đe dọa này tiếp tục phát triển, những người bảo vệ phải luôn cảnh giác với các chiến thuật mới và tăng cường phòng thủ chống lại những kẻ tấn công hoạt động ngầm để thực hiện tội phạm mạng quy mô lớn.