نفوذ CastleLoader از طریق مخازن جعلی GitHub

تهدید پیشرفته بدافزاری CastleLoader با بهره‌گیری از فیشینگ و گیت‌هاب جعلی در حال گسترش است.

به گزارش افتانا، محققان امنیت سایبری از فعالیت یک بدافزار جدید و پیشرفته به نام CastleLoader پرده برداشته‌اند که در کمپین‌های مختلف برای توزیع بدافزارهایی مثل DeerStealer، RedLine Stealer، StealC، NetSupport RAT، SectopRAT و حتی لودرهای دیگر مانند Hijack Loader مورد استفاده قرار گرفته است.

این بدافزار به‌صورت خاص از حملات فیشینگ با ظاهر Cloudflare تحت عنوان ClickFix و همچنین مخازن جعلی در سایت GitHub که خود را به‌جای نرم‌افزارهای معتبر جا می‌زنند برای آلوده‌سازی دستگاه‌ها استفاده می‌کند.

CastleLoader یک بدافزار ماژولار و چند مرحله‌ای است که ابتدا کدهای مخرب خود را با استفاده از تکنیک‌هایی مانند کدهای مرده (Dead Code) و پکینگ (Packing) پنهان کرده، سپس در زمان اجرا خود را بازگشایی کرده و با اتصال به سرور فرمان (C2)، ماژول‌های مورد نظر را دانلود و اجرا می‌کند. این ساختار ماژولار، به مهاجم اجازه می‌دهد تا مرحله ورود اولیه به سیستم قربانی را از مرحله اجرای بدافزار اصلی جدا کند. همین مسئله شناسایی و مقابله با آن را برای تیم‌های امنیتی سخت‌تر می‌کند.

کاربران با جست‌وجوی ساده در گوگل ممکن است وارد سایت‌های جعلی‌ شوند که شبیه پلتفرم‌های توسعه نرم‌افزار، ابزارهای تماس تصویری یا پیام‌های به‌روزرسانی مرورگر طراحی شده‌اند. در این سایت‌ها پیام‌هایی مانند ارور یا کپچا نمایش داده می‌شود و از کاربران خواسته می‌شود دستورات PowerShell را برای «رفع مشکل» اجرا کنند؛ در حالی‌که همین دستورات موجب آلوده شدن سیستم می‌شود. در روش دیگر، مهاجمان مخازن جعلی GitHub ایجاد کرده و به‌ظاهر ابزارهای مفیدی را ارائه می‌دهند، اما فایل‌های مخرب در آن‌ها پنهان شده‌اند.

طبق گزارش شرکت امنیتی سوئیسی PRODAFT، از ماه می ۲۰۲۵ تاکنون، این بدافزار از ۷ سرور فرمان‌دهی مختلف (C2) استفاده کرده و بیش از ۱۶۳۴ تلاش برای آلوده‌سازی را ثبت کرده و ۴۶۹ دستگاه را نرخ موفقیت ۲۸.۷٪ واقعاً آلوده کرده است.

استفاده از تکنیک‌های ضد تحلیل (Anti-analysis) مانند ضد سندباکس و کدگذاری پویا، سوءاستفاده از PowerShell برای اجرای زنجیره آلودگی، تقلید حرفه‌ای از مخازن گیت‌هاب جهت فریب توسعه‌دهندگان و طراحی پنل مدیریتی وب‌محور برای کنترل دستگاه‌های آلوده، مشابه آنچه در خدمات بدافزار به‌عنوان سرویس (MaaS) مشاهده می‌شود؛ ازجمله ویژگی‌های پیشرفته CastleLoaderاست.

CastleLoader یک تهدید فعال و در حال رشد است که در اکوسیستم بدافزاری امروزی، نقش مهمی به عنوان توزیع‌کننده اولیه ایفا می‌کند. ساختار چندمرحله‌ای، قابلیت پنهان‌سازی بالا و روش‌های مهندسی اجتماعی پیچیده، این بدافزار را به ابزاری خطرناک در دستان مجرمان سایبری تبدیل کرده است.