Istraživači sajber sigurnosti otkrili su novi svestrani program za učitavanje malicioznog softvera pod nazivom CastleLoader koji se koristi u kampanjama distribucije raznih kradljivaca informacija i trojanaca za udaljeni pristup (RAT).
Švicarska kompanija za sajber sigurnost PRODAFT saopštila je da se u izvještaju za The Hacker News navodi da se u toj aktivnosti koriste phishing napadi ClickFix -a s temom Cloudflarea i lažni GitHub repozitorij otvoreni pod imenima legitimnih aplikacija.
Maliciozni program, prvi put uočen u javnosti ranije ove godine, korišten je za distribuciju DeerStealer , RedLine , StealC , NetSupport RAT , SectopRAT , pa čak i drugih programa za učitavanje zlonamjernog softvera poput Hijack Loadera .
“Koristi tehnike ubrizgavanja i pakovanja mrtvog koda kako bi otežao analizu”, saopštila je kompanija. “Nakon što se raspakuje tokom izvođenja, povezuje se sa C2 (komanda i kontrola) serverom, preuzima ciljne module i izvršava ih.”
Modularna struktura CastleLoadera omogućava mu da djeluje i kao mehanizam za isporuku i kao uslužni program za pripremu, omogućavajući prijetnjama da odvoje početnu infekciju od implementacije korisnog sadržaja. Ovo odvajanje komplicira atribuciju i odgovor jer odvaja vektor infekcije od eventualnog ponašanja zlonamjernog softvera, dajući napadačima veću fleksibilnost u prilagođavanju kampanja tokom vremena.
CastleLoader korisni opterećenja se distribuiraju kao prenosive izvršne datoteke koje sadrže ugrađeni shellcode, koji zatim poziva glavni modul učitavača koji se, zauzvrat, povezuje sa C2 serverom kako bi dohvatio i izvršio zlonamjerni softver sljedeće faze.
Napadi koji distribuiraju malicozni softver oslanjali su se na prevladavajuću tehniku ClickFix na domenama koje se predstavljaju kao biblioteke za razvoj softvera, platforme za video konferencije, obavještenja o ažuriranjima preglednika ili sistemi za verifikaciju dokumenata, na kraju varajući korisnike da kopiraju i izvršavaju PowerShell naredbe koje aktiviraju lanac infekcije.
Žrtve se usmjeravaju na lažne domene putem Google pretraga, nakon čega im se prikazuju stranice s lažnim porukama o grešci i CAPTCHA okvirima za verifikaciju koje su razvili akteri prijetnje, tražeći od njih da izvrše niz uputa kako bi navodno riješili problem.
Alternativno, CastleLoader koristi lažne GitHub repozitorije koji imitiraju legitimne alate kao vektor distribucije, uzrokujući da korisnici koji ih nesvjesno preuzimaju umjesto toga kompromituju svoje računare zlonamjernim softverom.
„Ova tehnika iskorištava povjerenje programera u GitHub i njihovu sklonost da pokreću instalacijske naredbe iz repozitorija koji izgledaju ugledno“, rekao je PRODAFT.
Ova strateška iskorištavanje socijalnog inženjeringa odražava tehnike koje se koriste kod posrednika početnog pristupa (IAB), naglašavajući njegovu ulogu unutar šireg lanca snabdijevanja cyber kriminala.
PRODAFT je saopštio da je primijetio da se Hijack Loader isporučuje putem DeerStealera, kao i CastleLoadera, pri čemu i CastleLoader širi varijante DeerStealera. Ovo ukazuje na preklapajuću prirodu ovih kampanja, uprkos tome što ih orkestriraju različiti akteri prijetnji.
Od maja 2025. godine, kampanje CastleLoader-a su koristile sedam različitih C2 servera, sa preko 1.634 zabilježena pokušaja infekcije tokom tog perioda. Analiza njihove C2 infrastrukture i web panela – koji se koristi za nadzor i upravljanje infekcijama – pokazuje da je čak 469 uređaja kompromitovano, što je rezultiralo stopom infekcije od 28,7%.
Istraživači su takođe uočili elemente anti-sandboxinga i obfuscationa – karakteristike tipične za napredne učitavače poput SmokeLoadera ili IceID-a. U kombinaciji sa iskorištavanjem PowerShella, imitiranjem GitHuba i dinamičkim raspakivanjem, CastleLoader odražava rastući trend učitavača zlonamjernog softvera koji prvo koriste prikrivene funkcije, a djeluju kao “stageri” u ekosistemima malicioznog softvera kao usluge (maaS).
„Castle Loader je nova i aktivna prijetnja koju brzo usvajaju razne zlonamjerne kampanje za primjenu niza drugih programa za učitavanje i krađu virusa“, saopštio je PRODAFT . „Njegove sofisticirane tehnike anti-analize i višefazni proces infekcije ističu njegovu efikasnost kao primarnog mehanizma distribucije u trenutnom okruženju prijetnji.“
“C2 panel demonstrira operativne sposobnosti koje se obično povezuju s ponudama malicioznog softvera kao usluge (MaaS), što sugerira da operateri imaju iskustva u razvoju infrastrukture za sajber kriminal.”
Izvor:The Hacker News
