CastleLoader: новая угроза с продвинутыми фишинговыми атаками

CastleLoader: новая угроза с продвинутыми фишинговыми атаками

CastleLoader: новая угроза в мире кибербезопасности 2025 года

В начале 2025 года на киберпространстве появилась новая вредоносная программа-загрузчик — CastleLoader, которая быстро заняла доминирующее положение среди угроз. Используя современные методы фишинга и сложные технические приемы, эта вредоносная платформа представляет серьёзную опасность для критически важных объектов, включая государственные учреждения.

Механизм атаки и распространения CastleLoader

Основу атак CastleLoader составляет использование фишинговых технологий ClickFix, которые направлены на обман пользователей через домены, маскирующиеся под легитимные приложения и известные библиотеки для разработки ПО. Для большей убедительности злоумышленники создают тематические страницы, имитирующие Cloudflare и другие популярные сервисы.

Жертвы, переходя по вредоносным ссылкам и выполняя предложенные команды, загружают вредоносное ПО, подобранное с учетом целей конкретной кампании. В результате зараженные устройства могут быть атакованы похитителями информации и троянскими программами удаленного доступа (RAT), что открывает злоумышленникам путь к удаленной системе через бэкдоры.

  • Гибкая платформа распространения: CastleLoader способен загружать широкий спектр вредоносного ПО.
  • Уникальный механизм выполнения: полезные файлы загружаются и выполняются непосредственно в память в формате динамически подключаемых библиотек (DLL).
  • Связь с сервером управления (C2): первичная вредоносная программа обеспечивает постоянный контакт для загрузки дополнительных компонентов и усложнения обнаружения.

Инфраструктура управления и особенности эксплуатации

Инфраструктура C2 CastleLoader обеспечена сложной веб-панелью управления, которая позволяет злоумышленникам осуществлять всесторонний контроль над операциями вредоносного ПО. Эта панель поддерживает модель «вредоносное ПО как услуга» (MaaS), что говорит о высоком уровне организации и коммерциализации преступной деятельности.

  • Отслеживание заражений: сбор статистики по успешным атакам.
  • Управление полезной нагрузкой: загрузка и активация вредоносных компонентов с возможностью детальной настройки по географическим и эксплуатационным параметрам.
  • Автоматизация процессов: функции автоматического извлечения ZIP-архивов и повышения привилегий на зараженных системах обеспечивают эффективное и безопасное выполнение задач злоумышленников.

Кроме того, хакеры анализируют данные из URL вредоносных загрузчиков, регистрируя подробности о пользователях, включая IP-адреса и строки user-agent. Эти сведения позволяют точно настраивать будущие кампании и повышать их эффективность, а также манипулировать трафиком и перенаправлять жертв для обхода систем обнаружения.

Масштабы и последствия атак CastleLoader

Недавние кампании CastleLoader привели к заражению более 400 критически важных объектов, в том числе ряда правительственных учреждений США, что свидетельствует о масштабности и серьезности угрозы.

За счет технической сложности и многоуровневого подхода, сочетающего социальную инженерию и современные вредоносные механизмы, успех атак достигает тревожного уровня: более 28% пользователей, перешедших по вредоносным ссылкам, становятся жертвами заражения.

CastleLoader демонстрирует эволюцию методов хакеров, превращая атаки в хорошо скоординированную и адаптивную систему, требующую немедленных мер по усилению кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: