网络安全研究人员揭示了一种名为CastleLoader的新型多功能恶意软件加载器,该加载器已被用于分发多种信息窃取工具和远程访问木马(RAT)等恶意软件。
瑞士网络安全公司PRODAFT在向《The Hacker News》分享的报告中指出,该恶意活动利用了以Cloudflare为主题的ClickFix网络钓鱼攻击以及伪造的GitHub仓库,这些仓库冒充合法应用程序的名称进行发布。
CastleLoader首次在今年早些时候被发现,其被用于传播DeerStealer、RedLine、StealC、NetSupport RAT、SectopRAT,甚至包括其他加载器如Hijack Loader。
该公司表示:“它采用了死代码注入和加壳技术以阻碍分析。”恶意软件在运行时自我解包后,会连接至命令与控制(C2)服务器,下载目标模块并执行。
CastleLoader的模块化结构使其既能作为交付机制,也能作为预备工具,允许攻击者将初始感染与有效载荷的部署分开。这种分离增加了追踪和响应的难度,因为感染途径与最终恶意行为脱钩,使攻击者能更灵活地调整攻击活动。
CastleLoader的有效载荷以可移植执行文件(PE文件)的形式分发,内部包含嵌入的shellcode。该shellcode随后调用加载器的主模块,主模块再连接到命令与控制(C2)服务器,以获取并执行后续阶段的恶意软件。
分发该恶意软件的攻击主要依赖广泛流行的ClickFix技术,这些攻击利用伪装成软件开发库、视频会议平台、浏览器更新通知或文档验证系统的恶意域名,诱骗用户复制并执行PowerShell命令,从而激活感染链。
受害者通常通过谷歌搜索被引导至这些假冒域名,页面上展示的是由攻击者设计的伪造错误信息和验证码验证框,要求用户按照一系列指示操作,以“解决问题”为由诱导其执行恶意操作。
CastleLoader还利用伪造的GitHub仓库作为传播途径,这些仓库模仿合法工具,导致用户在不知情的情况下下载后感染恶意软件,从而使其设备遭受攻击。
“这一手法利用了开发者对GitHub的信任,以及他们倾向于从看似可信的仓库运行安装命令的习惯,”瑞士安全公司PRODAFT表示。
这种策略性滥用社交工程技术,与初始访问经纪人(IAB)常用的手法类似,凸显了CastleLoader在更大网络犯罪供应链中的角色。
PRODAFT还观察到,Hijack Loader通过DeerStealer和CastleLoader传播,后者也在传播DeerStealer的变种。这表明尽管这些活动由不同的威胁行为者操控,但其行动存在重叠。
自2025年5月以来,CastleLoader相关攻击活动共使用了七个不同的C2(命令与控制)服务器,在此期间共记录到1,634次感染尝试。通过对其C2基础设施及其基于Web的管理面板(用于监控和控制感染情况)的分析发现,共有469台设备被成功感染,感染率达28.7%。
研究人员还观察到该恶意加载器具备反沙箱(anti-sandbox)和代码混淆功能——这类功能通常出现在SmokeLoader或IceID等高级加载器中。结合对PowerShell的滥用、GitHub仿冒以及动态解包等手段,CastleLoader反映出当前恶意软件加载器趋向隐蔽化的演进趋势,其主要作用是在“恶意软件即服务”(Malware-as-a-Service, MaaS)生态系统中充当初始投递平台。
PRODAFT指出:“CastleLoader是一个新出现且仍在活跃传播的威胁,已被多个恶意攻击行动迅速采用,用于部署多种加载器和信息窃取器。其复杂的反分析机制与多阶段感染流程,突显了其在当前威胁格局中作为初始传播工具的高效性。”
发表评论
您还未登录,请先登录。
登录