Cybersecurity -onderzoekers hebben licht geworpen op een nieuwe veelzijdige malware -lader genaamd Castleloader Dat is gebruikt in campagnes die verschillende informatie -stealers en externe toegang Trojans (ratten) distribueren.
De activiteit maakt gebruik van CloudFlare-thema Clickfix Phishing Attacks en Fake Github Repositories geopend onder de namen van legitieme applicaties, zei Swiss Cybersecurity Company Prodaft in een rapport gedeeld met The Hacker News.
De malware -lader, voor het eerst waargenomen in het wild eerder dit jaar, is gebruikt om deRESTealer, Redline, Stealc, NetSupport -rat, sectoprat en zelfs andere laders zoals kaplader te verdelen.
“Het maakt gebruik van dode code -injectie- en verpakkingstechnieken om de analyse te belemmeren,” zei het bedrijf. “Nadat het zich tijdens runtime uitpakte, maakt het verbinding met een C2-server (command-and-control), downloadt doelmodules en voert ze uit.”
Met de modulaire structuur van Castleloader kan het fungeren als zowel een leveringsmechanisme als een staging -hulpprogramma, waardoor dreigingsactoren in staat zijn om de initiƫle infectie te scheiden van de payload -implementatie. Deze scheiding compliceert toeschrijving en reactie omdat het de infectievector ontkoppelt van het uiteindelijke malwaregedrag, waardoor aanvallers meer flexibiliteit hebben bij het aanpassing van campagnes in de loop van de tijd.
Castleloader-ladingen worden gedistribueerd als draagbare uitvoerbare bestanden met een ingebedde shellcode, die vervolgens de hoofdmodule van de lader oproept die op zijn beurt verbinding maakt met de C2-server om de volgende fase malware op te halen en uit te voeren.
Aanvallen die de malware distribueren, hebben vertrouwd op de heersende ClickFix -techniek op domeinen die zich voordoen als softwareontwikkelingsbibliotheken, videoconferentplatforms, browserupdatemeldingen of documentverificatiesystemen, waardoor gebruikers uiteindelijk worden bedrogen om PowerShell -opdrachten te kopiƫren en uit te voeren die de infectieketen activeren.
Slachtoffers worden door Google -zoekopdrachten naar de nep -domeinen gericht, op welk punt ze worden geserveerd, pagina’s met nepfoutberichten en captcha -verificatieboxen die zijn ontwikkeld door de dreigingsacteurs, die hen vragen om een reeks instructies uit te voeren om de kwestie te behandelen.
Als alternatief maakt Castleloader gebruik van nep -GitHub -repositories die legitieme tools nabootst als distributievector, waardoor gebruikers die ze onbewust downloaden in plaats daarvan hun machines met malware compromitteren.
“Deze techniek maakt gebruik van het vertrouwen van de ontwikkelaars in GitHub en hun neiging om installatiebelastingen uit te voeren van repositories die gerenommeerd lijken,” zei PRODAFT.
Dit strategische misbruik van social engineering weerspiegelt technieken die worden gebruikt in de eerste Access Brokers (IAB’s) en onderstreepte zijn rol binnen een bredere supply chain van cybercriminaliteit.
PRODAFT zei dat het heeft opgemerkt dat kaplader is geleverd via deREStaler en Castleloader, waarbij de laatste ook de Varianten van deRESTealer propageert. Dit suggereert de overlappende aard van deze campagnes, ondanks dat ze worden georkestreerd door verschillende dreigingsacteurs.
Sinds mei 2025 hebben Castleloader -campagnes zeven verschillende C2 -servers gebruikt, met meer dan 1.634 infectiepogingen die gedurende de periode zijn geregistreerd. Analyse van de C2-infrastructuur en het webgebaseerde panel-dat wordt gebruikt om toezicht te houden op en de infecties te beheren-toont aan dat maar liefst 469 apparaten werden aangetast, wat resulteerde in een infectiegraad van 28,7%.
Onderzoekers zagen ook elementen van anti-sandboxing en verduistering-vakken typisch in gevorderde laders zoals Smokeloader of IceIder. In combinatie met PowerShell-misbruik, GitHub-imitatie en dynamische uitpakken weerspiegelt Castleloader een groeiende trend in stealth-first malware-laders die werken als stagers in malware-as-a-service (MAAS) ecosystemen.
“Castle Loader is een nieuwe en actieve bedreiging, die snel wordt aangenomen door verschillende kwaadaardige campagnes om een reeks andere laders en stealers in te zetten,” zei Prostaft. “De geavanceerde anti-analysetechnieken en het multi-fase infectieproces benadrukken de effectiviteit ervan als een primair distributiemechanisme in het huidige landschap van de bedreiging.”
“Het C2-paneel toont operationele mogelijkheden die meestal worden geassocieerd met malware-as-a-service (MAAS) -aanbiedingen, wat suggereert dat de operators ervaring hebben met de ontwikkeling van cybercriminale infrastructuur.”
