Siber güvenlik araştırmacıları, yeni bir çok yönlü kötü amaçlı yazılım yükleyicisine ışık tuttular Castleloader Bu, çeşitli bilgi çalanlar ve uzaktan erişim Truva atları (sıçanlar) dağıtma kampanyalarında kullanıldı.
Hacker News ile paylaşılan bir raporda, etkinliğin meşru uygulamalar adı altında açılan Cloudflare temalı ClickFix kimlik avı saldırıları ve sahte Github depoları kullandığını söyledi.
İlk olarak bu yılın başlarında Vahşi’de gözlemlenen kötü amaçlı yazılım yükleyici, DeerStealer, Redline, Stealc, Netsupport Rat, Sectoprat ve hatta Hijack Loader gibi diğer yükleyicileri dağıtmak için kullanılmıştır.
Şirket, “Analizi engellemek için ölü kod enjeksiyonu ve paketleme teknikleri kullanıyor.” Dedi. “Çalışma zamanında kendini açtıktan sonra, bir C2 (komut ve kontrol) sunucusuna bağlanır, hedef modülleri indirir ve bunları yürütür.”
Castleloader’ın modüler yapısı, hem dağıtım mekanizması hem de evreleme yardımcısı olarak hareket etmesini sağlar ve tehdit aktörlerinin ilk enfeksiyonu yük dağıtımından ayırmasını sağlar. Bu ayrılık, atıf ve yanıtı zorlaştırır, çünkü enfeksiyon vektörünü nihai kötü amaçlı yazılım davranışından ayırır ve saldırganlara zaman içinde kampanyaları uyarlamada daha fazla esneklik sağlar.
Castleloader yükleri, gömülü bir kabuk kodu içeren taşınabilir yürütülebilir ürünler olarak dağıtılır, bu da daha sonra yükleyicinin ana modülünü, sonraki aşama kötü amaçlı yazılımları almak ve yürütmek için C2 sunucusuna bağlanır.
Kötü amaçlı yazılımları dağıtan saldırılar, yazılım geliştirme kütüphaneleri, video konferans platformları, tarayıcı güncelleme bildirimleri veya belge doğrulama sistemleri olarak poz veren alanlardaki yaygın ClickFix tekniğine güvenerek, kullanıcıları enfeksiyon zincirini etkinleştiren PowerShell komutlarını kopyalayıp yürütmeye kandırıyor.
Mağdurlar, Google aramaları aracılığıyla sahte alanlara yönlendirilir, bu noktada sahte hata mesajları ve tehdit aktörleri tarafından geliştirilen Captcha doğrulama kutuları içeren sayfalar sunulur ve sorunu ele almak için bir dizi talimat gerçekleştirmelerini ister.
Alternatif olarak, Castleloader, meşru araçları dağıtım vektörü olarak taklit eden sahte Github depolarından yararlanır ve bilmeden indiren kullanıcıların makinelerini kötü amaçlı yazılımlarla tehlikeye atmalarına neden olur.
ProDaft, “Bu teknik, geliştiricilerin GitHub’a olan güvenini ve saygın görünen depolardan kurulum komutlarını çalıştırma eğilimlerinden yararlanıyor.” Dedi.
Sosyal mühendisliğin bu stratejik kötüye kullanımı, başlangıç erişim brokerlerinde (IAB) kullanılan teknikleri, daha geniş bir siber suç tedarik zincirindeki rolünün altını çiziyor.
Prodaft, Hijack Loader’ın Deerstealer ve Castleloader aracılığıyla teslim edildiğini gözlemlediğini ve ikincisi destealer varyantları yayıyor. Bu, farklı tehdit aktörleri tarafından düzenlenmesine rağmen, bu kampanyaların üst üste binen doğasını göstermektedir.
Mayıs 2025’ten bu yana, Castleloader kampanyaları, zaman diliminde 1.634’den fazla enfeksiyon denemesi kaydedilmiş yedi farklı C2 sunucusundan yararlandı. C2 altyapısının ve enfeksiyonları denetlemek ve yönetmek için kullanılan web tabanlı panelinin analizi, 469 cihazın tehlikeye girdiğini ve bu da%28.7’lik bir enfeksiyon oranına neden olduğunu göstermektedir.
Araştırmacılar ayrıca sandviç anti-sandbox ve gizleme unsurlarını gözlemlediler-Smokeloader veya Iceid gibi gelişmiş yükleyicilerde tipik özellikler. PowerShell istismarı, Github taklit etme ve dinamik ambalajlama ile birleştiğinde, Castleloader, hizmet olarak kötü amaçlı yazılım (MAAS) ekosistemlerinde stager olarak çalışan gizli ilk kötü amaçlı yazılım yükleyicilerinde artan bir eğilimi yansıtmaktadır.
ProTaft, “Castle Loader, bir dizi diğer yükleyici ve stealer dağıtmak için çeşitli kötü niyetli kampanyalar tarafından hızla benimsenen yeni ve aktif bir tehdittir.” Dedi. “Sofistike anti-analiz teknikleri ve çok aşamalı enfeksiyon süreci, mevcut tehdit manzarasında birincil dağıtım mekanizması olarak etkinliğini vurgulamaktadır.”
“C2 paneli, tipik olarak hizmet olarak kötü amaçlı yazılım (MAAS) teklifleri ile ilişkili operasyonel yetenekleri göstermektedir, bu da operatörlerin siber suçlu altyapı gelişiminde deneyime sahip olduğunu göstermektedir.”