Los investigadores de ciberseguridad han arrojado luz sobre un nuevo cargador de malware versátil llamado Castillo de castillo Eso se ha utilizado en campañas que distribuyen varios robadores de información y troyanos de paso remoto (ratas).
La actividad emplea ataques de phishing de clickfix con temática de Cloudflare y repositorios falsos de GitHub franco bajo los nombres de aplicaciones legítimas, dijo la compañía suiza de ciberseguridad Productaft en un referencia compartido con las telediario de los hackers.
El cargador de malware, observado por primera vez en la naturaleza a principios de este año, se ha utilizado para distribuir Deerstealer, Redline, Stealc, NetSupport Rat, Sectoprat e incluso otros cargadores como Hijack Loader.
“Emplea técnicas de inyección y empaque de código muerto para obstaculizar el investigación”, dijo la compañía. “Luego de desempaquetarse en tiempo de ejecución, se conecta a un servidor C2 (comando y control), descarga módulos de destino y los ejecuta”.
La estructura modular de Castleloader le permite comportarse como un mecanismo de entrega y una utilidad de preparación, lo que permite a los actores de amenaza separar la infección auténtico de la implementación de la carga útil. Esta separación complica la atribución y la respuesta porque desacopla el vector de infección del eventual comportamiento de malware, dando a los atacantes más flexibilidad para adaptar las campañas a lo espléndido del tiempo.
Las cargas enseres de CastLeloader se distribuyen como ejecutables portátiles que contienen un código de sheller integrado, que luego invoca el módulo principal del cargador que, a su vez, se conecta al servidor C2 para obtener y ejecutar el malware en la próximo etapa.
Los ataques que distribuyen el malware se han basado en la técnica de ClickFix prevalente en dominios que se hacen acontecer por bibliotecas de expansión de software, plataformas de videoconferencia, notificaciones de modernización del navegador o sistemas de comprobación de documentos, en última instancia, engañando a los usuarios para copiar y ejecutar comandos PowerShell que activan la sujeción de infección.
Las víctimas se dirigen a los dominios falsos a través de las búsquedas de Google, momento en el que se les atiende páginas que contienen mensajes de error falsos y cuadros de comprobación Captcha desarrollados por los actores de amenaza, pidiéndoles que lleven a sitio una serie de instrucciones para supuestamente chocar el problema.
Alternativamente, Castleloader aprovecha los repositorios falsos de GitHub que imitan las herramientas legítimas como un vector de distribución, lo que hace que los usuarios que los descarguen sin saberlo comprometan sus máquinas con malware.
“Esta técnica explota la confianza de los desarrolladores en GitHub y su tendencia a ejecutar comandos de instalación desde repositorios que parecen acreditados”, dijo ProDaft.
Este exageración clave de las técnicas de reflejos de ingeniería social utilizadas en los corredores de paso auténtico (IABS), lo que subraya su papel adentro de una sujeción de suministro de cibercrimen más amplia.
ProDaft dijo que ha observado que el cargador de secuestros se entrega a través de Deerstealer y Castleloader, y este postrero todavía propaga las variantes de Deerstealer. Esto sugiere la naturaleza superpuesta de estas campañas, a pesar de que están orquestados por diferentes actores de amenazas.
Desde mayo de 2025, las campañas de Castleloader han trabajador siete servidores C2 distintos, con más de 1,634 intentos de infección registrados durante el período de tiempo. El investigación de su infraestructura C2 y su panel basado en la web, que se utiliza para supervisar y dirigir las infecciones, muestra que hasta 469 dispositivos se vieron comprometidos, lo que resultó en una tasa de infección del 28,7%.
Los investigadores todavía observaron nociones de anti-sandboxing y ofuscación, características típicas en cargadores avanzados como Smokeloader o Iceid. Combinado con el exageración de PowerShell, la suplantación de GitHub y el desempaquetado dinámico, Castleloader refleja una tendencia creciente en los cargadores de malware sigilosos que operan como decepcionantes en los ecosistemas de malware como servicio (MAAS).
“Castle Loader es una amenaza nueva y activa, rápidamente adoptada por varias campañas maliciosas para desplegar una variedad de otros cargadores y robos”, dijo ProDaft. “Sus sofisticadas técnicas contra el investigación y el proceso de infección en múltiples etapas resaltan su efectividad como un mecanismo de distribución primaria en el panorama de amenazas contemporáneo”.
“El panel C2 demuestra capacidades operativas típicamente asociadas con las ofertas de malware como servicio (MAAS), lo que sugiere que los operadores tienen experiencia en el expansión de la infraestructura cibercriminal”.
