O CastleLoader, um sofisticado carregador de malware, comprometeu mais de 400 dispositivos desde sua estreia no início de 2025, com a empresa de segurança cibernética PRODAFT relatando 469 infecções em 1.634 tentativas até maio de 2025, alcançando uma impressionante taxa de sucesso de 28,7%.
Esse agente de ameaças modular aproveita técnicas avançadas de phishing, incluindo iscas ClickFix com tema Cloudflare e repositórios enganosos do GitHub, para implantar um arsenal de cargas secundárias, como ladrões de informações e trojans de acesso remoto (RATs).
Ameaça tem como alvo entidades governamentais dos EUA
Notavelmente, as entidades governamentais dos EUA surgiram como os principais alvos, ressaltando o potencial do malware para interrupções generalizadas em setores de infraestrutura crítica.
De acordo com o relatório, Analistas da PolySwarm sinalizaram o CastleLoader como uma ameaça emergente de alto impacto, enfatizando sua capacidade de explorar plataformas confiáveis e vulnerabilidades humanas para contornar as medidas de segurança convencionais.
A cadeia de ataque do CastleLoader começa com campanhas de phishing que imitam serviços legítimos, muitas vezes apresentando às vítimas mensagens de erro falsas ou desafios CAPTCHA em domínios que se passam por Cloudflare, Google Meet ou notificações de atualização do navegador.
Isso atrai os usuários a copiar e executar comandos maliciosos do PowerShell por meio da caixa de diálogo Executar do Windows, evitando efetivamente os gateways de email e contando com ações iniciadas pelo usuário para o comprometimento inicial.
Paralelamente, o malware explora a confiança dos desenvolvedores em ecossistemas de código aberto, distribuindo instaladores contaminados por meio de repositórios falsificados do GitHub, como aqueles disfarçados de bibliotecas do SQL Server Management Studio (SSMS-lib).
Uma vez executados, esses instaladores estabelecem conexões com servidores de comando e controle (C2), permitindo a implantação dinâmica de cargas úteis adaptadas aos objetivos do invasor.
Entrega de carga útil
Em sua essência, o CastleLoader emprega uma mistura de Scripts do PowerShell e executáveis compilados pela AutoIT para obter persistência e evasão.
Após a ativação, o componente AutoIT injeta o código shell na memória como uma DLL (biblioteca de vínculo dinâmico), utilizando nomes DLL com hash e resoluções de API para obscurecer suas operações e se conectar a um dos sete servidores C2 protegidos.
Esses servidores são administrados por meio de um painel de controle baseado na web que fornece telemetria granular, incluindo endereços IP das vítimas, impressões digitais do sistema e dados geográficos, permitindo que as operadoras orquestrem campanhas direcionadas com precisão.
O módulo Delivery do painel gerencia o armazenamento de carga útil com tags de metadados, enquanto o módulo Tasks oferece suporte a recursos avançados, como filtragem geográfica, implantações de contêiner Docker criptografadas, verificações de privilégios administrativos obrigatórios, rotinas de detecção de máquinas antivirtuais e prompts de erro simulados para desviar suspeitas.
A versatilidade do carregador brilha em seu ecossistema de carga útil, que inclui StealC e RedLine para coleta de credenciais de navegadores e carteiras de criptomoedas, DeerStealer para exfiltrar dados confidenciais, NetSupport RAT e SectopRAT para estabelecer backdoors persistentes e HijackLoader para encadear carregadores de malware adicionais.
As sobreposições às operações do DeerStealer, em que ambas as ameaças distribuem o HijackLoader, sugerem redes colaborativas de agentes de ameaças, complicando ainda mais a atribuição.
As comunicações de rede são roteadas por meio de serviços legítimos de compartilhamento de arquivos e sites comprometidos, aumentando a resiliência contra remoções e permitindo a recuperação furtiva de carga útil.
Essa arquitetura distribuída, combinada com o design modular do CastleLoader, amplifica seu perfil de ameaças, tornando-o particularmente hábil em se infiltrar em alvos de alto valor, como sistemas governamentais.
Com infecções abrangendo vários setores e foco em vítimas críticas, o CastleLoader representa um paradigma de carregadores de malware modernos, combinando engenharia social com proeza técnica.
As organizações são incentivadas a reforçar as defesas contra phishing, monitorar as dependências do GitHub e implementar análises comportamentais para detectar execuções anômalas do PowerShell.
Indicadores de Comprometimento (IOCs)
| Tipo | Valor | Descrição |
|---|---|---|
| SHA-256 | 05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8 | Exemplo de CastleLoader (PolySwarm) |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!