I ricercatori di sicurezza informatica hanno recentemente scoperto un nuovo e potente caricatore di malware chiamato CastleLoader. Questo strumento è stato utilizzato in campagne per distribuire vari furti di informazioni e trojan di accesso remoto (RAT). Secondo un rapporto della società svizzera di sicurezza informatica PRODAFT, condiviso con The Hacker News, l’attività sfrutta attacchi di phishing ClickFix a tema Cloudflare e falsi repository GitHub, aperti sotto nomi di applicazioni legittime.
Osservato per la prima volta all’inizio di quest’anno, CastleLoader è stato impiegato per distribuire malware come DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT e altri caricatori come Hijack Loader. “Utilizza tecniche di iniezione di codice morto e imballaggio per ostacolare l’analisi”, ha dichiarato PRODAFT. “Una volta disimballato al momento dell’esecuzione, si connette a un server C2 (comando e controllo), scarica i moduli di destinazione e li esegue”.
La struttura modulare di CastleLoader gli consente di agire sia come meccanismo di consegna che come utilità di messa in scena, permettendo agli attori delle minacce di separare l’infezione iniziale dalla distribuzione del carico utile. Questa separazione complica l’attribuzione e la risposta, poiché disaccoppia il vettore di infezione dal comportamento finale del malware, offrendo agli attaccanti maggiore flessibilità nell’adattare le campagne nel tempo.
I payload di CastleLoader vengono distribuiti come eseguibili portatili contenenti uno shellcode incorporato, che invoca il modulo principale del caricatore. Questo, a sua volta, si connette al server C2 per recuperare ed eseguire il malware di fase successiva.
Gli attacchi che distribuiscono il malware si basano sulla tecnica ClickFix su domini che si spacciano per librerie di sviluppo software, piattaforme di videoconferenza, notifiche di aggiornamento del browser o sistemi di verifica dei documenti. In questo modo, ingannano gli utenti inducendoli a copiare ed eseguire comandi PowerShell che attivano la catena di infezione.
Le vittime vengono indirizzate ai domini falsi tramite ricerche su Google, dove vengono servite pagine contenenti falsi messaggi di errore e caselle di verifica CAPTCHA sviluppate dagli attori delle minacce, chiedendo loro di eseguire una serie di istruzioni per risolvere il problema.
In alternativa, CastleLoader sfrutta falsi repository GitHub che imitano strumenti legittimi come vettore di distribuzione, causando agli utenti che li scaricano inconsapevolmente di compromettere i loro dispositivi con malware.
“Questa tecnica sfrutta la fiducia degli sviluppatori in GitHub e la loro tendenza a eseguire comandi di installazione da repository che appaiono affidabili”, ha affermato PRODAFT. Questo abuso strategico dell’ingegneria sociale rispecchia le tecniche utilizzate dai broker di accesso iniziale (IAB), sottolineando il suo ruolo all’interno di una più ampia catena di approvvigionamento del crimine informatico.
PRODAFT ha osservato che Hijack Loader viene distribuito tramite DeerStealer e CastleLoader, con quest’ultimo che propaga anche varianti di DeerStealer. Questo suggerisce la natura sovrapposta delle minacce e la complessità delle campagne di malware moderne.
Fonte: The Hackers News
