Обнаружен новый активный загрузчик вредоносных программ CastleLoader. Он быстро распространяется, выступая основным механизмом доставки для опасных информационных стилеров и удаленных трояцев.
Злоумышленники применяют изощренные фишинговые схемы. Атаки ClickFix маскируются под Cloudflare, используя поддельные страницы ошибок, CAPTCHA и уведомления об обновлениях браузера или верификации документов. Жертв перенаправляют через поиск Google, обманом заставляя выполнить вредоносные команды PowerShell, запускающие заражение.
Второй вектор – фальшивые репозитории на GitHub. Они копируют названия легитимных приложений, эксплуатируя доверие разработчиков. Пользователи, клонируя репозиторий и запуская команды установки, невольно заражают свои системы.
CastleLoader доставляет разнообразные опасные нагрузки: информационные стилеры DeerStealer, RedLine, StealC, удаленные трояцы NetSupport RAT и SectopRAT, а также другие загрузчики, включая Hijack Loader.
Загрузчик использует продвинутые техники против анализа: мертвый код, упаковку, анти-сандбоксинг и обфускацию. Он распаковывается во время выполнения, подключается к серверу управления (C2), загружает и запускает целевые модули. Его модульная структура позволяет работать и как механизм доставки, и как промежуточная утилита. Полезные нагрузки поступают в виде исполняемых файлов (PE) со встроенным шеллкодом, который активирует основной модуль для связи с C2 и загрузки финального вредоноса.
Эта многоступенчатая модель дает атакующим стратегическое преимущество. Она отделяет начальное заражение от развертывания финальной нагрузки, затрудняя атрибуцию и реагирование, обеспечивая гибкость кампаний. Социальная инженерия напоминает методы брокеров начального доступа, указывая на роль CastleLoader в цепочке поставок киберпреступности.
Инфраструктура включает 7 серверов управления, развернутых с мая 2025 года, с веб-панелью для контроля заражений. Статистика впечатляет: 1634 попытки заражения, 469 скомпрометированных устройств, уровень успеха – 28.7%. Возможности панели характерны для Malware-as-a-Service (MaaS), указывая на опыт операторов.
CastleLoader – новый, но быстро набирающий популярность загрузчик. Его ключевые черты: изощренное противодействие анализу, многоэтапный процесс заражения и ориентированный на скрытность дизайн. Он отражает тренд на скрытные загрузчики-стагеры в экосистемах MaaS. По функционалу CastleLoader сравним с такими продвинутыми загрузчиками, как SmokeLoader или IceID, подтверждая свою эффективность как основного инструмента распространения в текущем ландшафте угроз.
Изображение носит иллюстративный характер
Злоумышленники применяют изощренные фишинговые схемы. Атаки ClickFix маскируются под Cloudflare, используя поддельные страницы ошибок, CAPTCHA и уведомления об обновлениях браузера или верификации документов. Жертв перенаправляют через поиск Google, обманом заставляя выполнить вредоносные команды PowerShell, запускающие заражение.
Второй вектор – фальшивые репозитории на GitHub. Они копируют названия легитимных приложений, эксплуатируя доверие разработчиков. Пользователи, клонируя репозиторий и запуская команды установки, невольно заражают свои системы.
CastleLoader доставляет разнообразные опасные нагрузки: информационные стилеры DeerStealer, RedLine, StealC, удаленные трояцы NetSupport RAT и SectopRAT, а также другие загрузчики, включая Hijack Loader.
Загрузчик использует продвинутые техники против анализа: мертвый код, упаковку, анти-сандбоксинг и обфускацию. Он распаковывается во время выполнения, подключается к серверу управления (C2), загружает и запускает целевые модули. Его модульная структура позволяет работать и как механизм доставки, и как промежуточная утилита. Полезные нагрузки поступают в виде исполняемых файлов (PE) со встроенным шеллкодом, который активирует основной модуль для связи с C2 и загрузки финального вредоноса.
Эта многоступенчатая модель дает атакующим стратегическое преимущество. Она отделяет начальное заражение от развертывания финальной нагрузки, затрудняя атрибуцию и реагирование, обеспечивая гибкость кампаний. Социальная инженерия напоминает методы брокеров начального доступа, указывая на роль CastleLoader в цепочке поставок киберпреступности.
Инфраструктура включает 7 серверов управления, развернутых с мая 2025 года, с веб-панелью для контроля заражений. Статистика впечатляет: 1634 попытки заражения, 469 скомпрометированных устройств, уровень успеха – 28.7%. Возможности панели характерны для Malware-as-a-Service (MaaS), указывая на опыт операторов.
CastleLoader – новый, но быстро набирающий популярность загрузчик. Его ключевые черты: изощренное противодействие анализу, многоэтапный процесс заражения и ориентированный на скрытность дизайн. Он отражает тренд на скрытные загрузчики-стагеры в экосистемах MaaS. По функционалу CastleLoader сравним с такими продвинутыми загрузчиками, как SmokeLoader или IceID, подтверждая свою эффективность как основного инструмента распространения в текущем ландшафте угроз.
