В сети появился новый опасный вредоносный загрузчик под названием CastleLoader, который уже успел заразить 469 устройств. Его особенность – использование хитроумных методов социальной инженерии и технических уловок, что позволяет обходить защитные механизмы и направлять жертву к заражению через поддельные репозитории GitHub и фишинговые атаки, маскируемые под Cloudflare ClickFix. Эксперты швейцарской компании PRODAFT опубликовали отчет, в котором подробно рассказывается о работе этого многофункционального загрузчика и его роли в современной экосистеме киберпреступности. CastleLoader появился в открытом доступе всего несколько месяцев назад, однако уже активно используется разнообразными киберпреступными группами для распределения разнообразных вредоносных программ – от кражи информации и удаленного управления до загрузки и установки других вредоносных модулей. Известно, что CastleLoader распространяет DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT и другие.
Его универсальность и модульная структура делают его мощным инструментом для реализации последовательных этапов заражения. Технически CastleLoader обладает продвинутыми методами защиты от анализа. Вредоносная программа применяет техники внедрения мертвого кода и упаковки, чтобы усложнить распаковку и исследование вредоносного кода специалистами безопасности. При запуске загрузчик распаковывается в памяти и устанавливает связь с командно-контрольным сервером, откуда загружает дополнительные модули для выполнения целевых задач на зараженном устройстве. Отдельной особенностью CastleLoader является разграничение этапов инфицирования.
Первая стадия – внедрение загрузчика – отделена от последующего развертывания вредоносных компонентов. Такая архитектура затрудняет расследование инцидентов и позволяет злоумышленникам менять используемые вредоносные полезные нагрузки без необходимости переосмысливать способ изначального проникновения. Важным каналом доставки CastleLoader стали так называемые атаки ClickFix. Злоумышленники создают сайты, маскирующиеся под популярные сервисы и платформы с призывами к действию, похожие на уведомления об ошибках или запросы верификации, где используются поддельные CAPTCHA. Жертвы убеждаются в необходимости выполнить длинный скрипт на PowerShell, который активирует цепочку заражения.
Обычно пользователи попадают на эти фиктивные сайты через результаты поисковых систем, где мошенники оптимизируют контент под определённые ключевые запросы. Также можно выделить вторую популярную схему прохождения заражения — фальшивые репозитории на GitHub. Злоумышленники создают страницы с именами известных или востребованных проектов, где размещают вредоносные установочные файлы. Поскольку разработчики и пользователи доверяют GitHub и зачастую не проверяют или не слишком подозрительны к исходникам и инструкциям, они невольно запускают загрузчик, предоставляя ему полный контроль над устройством. Подобная стратегия отражает деятельность так называемых initial access brokers, которые специализируются на продаже доступа к заражённым системам в качестве части комплексной киберпреступной инфраструктуры.
Отчеты PRODAFT отмечают, что CastleLoader одинаково тесно связан с другими сложными инструментами в арсенале хакерских групп. Например, замечено, что другие вредоносные загрузчики, такие как Hijack Loader и DeerStealer, распространяются либо вместе с CastleLoader, либо через его инфраструктуру. Такое пересечение деятельности указывает на существование масштабных кампаний с участием различных группировок, что усложняет возможность назначения ответственных за атаки. Оперативные данные с мая 2025 года дают представление о масштабах распространения CastleLoader. Всего за несколько месяцев злоумышленники задействовали не менее семи различных серверов управления и контроля для курирования заражённых машин и распространения новых вредоносных модулей.
Зафиксировано более 1,600 попыток инфицирования, из которых почти треть оказалась успешной. Это говорит о высокой эффективности и опасности данного инструмента, особенно учитывая его возможности обходить sandbox окружения и противодействовать анализу. Благоприятным фактором для CastleLoader стала широкая экспансия в среде распространения вредоносного ПО как услуги (MaaS). SSD-инфраструктура и веб-панель управления позволяют киберпреступникам контролировать миллионы зараженных устройств и гибко настраивать процессы доставки вредоносных программ. В дополнение к возможностям внедрения CastleLoader примечателен и способ обнаружения им системных данных и сбора информации для последующего таргетинга жертв.
Такой подход усиливает риск компрометации высокоценных целей и корпоративных ресурсов. Вскоре после публикации первоначального отчета швейцарская компания IBM X-Force предоставила дополнительную информацию. В их исследовании CastleLoader также фигурирует под псевдонимом CastleBot и связывается с распространением дополнительных вредоносных программ MonsterV2 (также известного как Aurotun Stealer) и WARMCOOKIE (BadSpace). Методы, по которым распространяется CastleBot, включают так называемый SEO-poisoning, то есть манипулирование рейтингами поисковых систем, а также обман через поддельные GitHub репозитории, имитирующие популярное программное обеспечение. Профессиональные исследователи отмечают, что главным вызовом для безопасности становится именно стратегия доставки CastleLoader.
Пользователи зачастую самостоятельно запускают заражённые установочные файлы, попадая на мошеннические сайты, маскирующиеся под легитимные источники программного обеспечения. Вредоносная программа развивается по многоэтапной модели, где первый этап отвечает за загрузку и установку, второй выполняет роль основного загрузчика, а третий обеспечивает двусторонний канал связи и управление на уровне командного сервера. Это позволяет злоумышленникам тщательно фильтровать цели, управлять результатами атак и высокоточно направлять вредоносное ПО на приоритетные объекты. В совокупности CastleLoader и похожие вредоносные загрузчики представляют собой растущую угрозу для современных пользователей и организаций. Распространение через знакомые и доверенные каналы, например, GitHub, и использование сложных методик обмана отрицательно влияет на способность обнаружения и реагирования специалистов по безопасности.
