CastleLoader: Novo loader modular ameaça ambientes com técnicas avançadas e campanhas diversificadas

Pesquisadores da PRODAFT identificaram o CastleLoader, um novo e versátil malware loader utilizado em campanhas de distribuição de stealers, RATs e outros loaders. A ameaça vem ganhando espaço no ecossistema de malware-as-a-service (MaaS) por sua eficiência, modularidade e forte uso de engenharia social.

1. Função: Loader modular com múltiplas finalidades

CastleLoader atua tanto como vetor inicial de infecção quanto como stager, separando a contaminação inicial da entrega do payload principal. Essa modularidade dificulta a atribuição e a resposta.

2. Técnicas evasivas: Anti-análise e injeção de código

Emprega dead code injection, empacotamento e técnicas de evasão como:

Desempacotamento em tempo de execução

Obfuscação

Anti-sandboxing
Esses métodos visam frustrar análises automatizadas e retardar a detecção.

3. Métodos de distribuição: ClickFix e GitHub falso

ClickFix phishing: Páginas falsas simulando bibliotecas de software, atualizações de navegador, videoconferência e verificação de documentos induzem o usuário a rodar comandos PowerShell maliciosos.

GitHub falso: Repositórios criados com nomes de ferramentas legítimas exploram a confiança de desenvolvedores e induzem a instalação de malware.

4. Carga maliciosa: Stealers, RATs e outros loaders

Já foram identificados os seguintes malwares sendo distribuídos por CastleLoader:

Stealers: DeerStealer, RedLine, StealC

RATs: NetSupport RAT, SectopRAT

Loaders: Hijack Loader

5. Integração com o ecossistema MaaS

O painel de C2 do CastleLoader mostra recursos típicos de ofertas malware-as-a-service, indicando que os operadores possuem experiência em infraestrutura cibercriminosa.

6. Dados da campanha: Escopo e impacto

Desde maio de 2025:

7 servidores C2 identificados

1.634 tentativas de infecção

469 dispositivos comprometidos (taxa de infecção: 28,7%)

Fonte: https://thehackernews.com/2025/07/castleloader-malware-infects-469.html

Outras Postagens