EHaas

CastleLoader: Novo loader modular ameaça ambientes com técnicas avançadas e campanhas diversificadas

Pesquisadores da PRODAFT identificaram o CastleLoader, um novo e versátil malware loader utilizado em campanhas de distribuição de stealers, RATs e outros loaders. A ameaça vem ganhando espaço no ecossistema de malware-as-a-service (MaaS) por sua eficiência, modularidade e forte uso de engenharia social. 

1. Função: Loader modular com múltiplas finalidades 

CastleLoader atua tanto como vetor inicial de infecção quanto como stager, separando a contaminação inicial da entrega do payload principal. Essa modularidade dificulta a atribuição e a resposta. 

2. Técnicas evasivas: Anti-análise e injeção de código 

Emprega dead code injection, empacotamento e técnicas de evasão como: 

  • Desempacotamento em tempo de execução 

  • Obfuscação 

  • Anti-sandboxing 
    Esses métodos visam frustrar análises automatizadas e retardar a detecção. 

3. Métodos de distribuição: ClickFix e GitHub falso 

  • ClickFix phishing: Páginas falsas simulando bibliotecas de software, atualizações de navegador, videoconferência e verificação de documentos induzem o usuário a rodar comandos PowerShell maliciosos. 

  • GitHub falso: Repositórios criados com nomes de ferramentas legítimas exploram a confiança de desenvolvedores e induzem a instalação de malware. 

4. Carga maliciosa: Stealers, RATs e outros loaders 

Já foram identificados os seguintes malwares sendo distribuídos por CastleLoader: 

  • Stealers: DeerStealer, RedLine, StealC 

  • RATs: NetSupport RAT, SectopRAT 

  • Loaders: Hijack Loader 

5. Integração com o ecossistema MaaS 

O painel de C2 do CastleLoader mostra recursos típicos de ofertas malware-as-a-service, indicando que os operadores possuem experiência em infraestrutura cibercriminosa. 

6. Dados da campanha: Escopo e impacto 

Desde maio de 2025: 

  • 7 servidores C2 identificados 

  • 1.634 tentativas de infecção 

  • 469 dispositivos comprometidos (taxa de infecção: 28,7%)
     

 

 

 

 

 

Fonte: https://thehackernews.com/2025/07/castleloader-malware-infects-469.html

 

Outras Postagens

Hackers russos criaram mais de 4.300 sites falsos de viagem para roubar dados de pagamento de hóspedes ao redor do mundo

13 de Novembro de 2025

Hackers russos criaram mais de 4.300 sites falsos de viagem para roubar dados de pagamento de hóspedes ao redor do mundo usando uma campanha sofisticada de phishing.

>> Ler mais

FBI desativa o portal BreachForums usado em extorsões ligadas à Salesforce

10 de Outubro de 2025

FBI desativa o BreachForums, fórum usado pelo grupo ShinyHunters para extorquir empresas com dados roubados da Salesforce, marcando mais um golpe contra o cibercrime organizado.

>> Ler mais
Ver todas as postagens
EHaas

Comece agora com o EHaaS

Fale com um especialista

Venha nos conhecer:

Avenida Eng. Luiz Carlos Berrini, 1140 7 andar – Brooklin – São Paulo / SP - CEP: 04571-000

EHaas © 2026 - Todos os direitos reservados