کمیته رکن چهارم – کارشناسان امنیت سایبری از ظهور بدافزار پیشرفتهای به نام CastleLoader خبر دادهاند که در کمپینهای گستردهای برای توزیع بدافزارهایی مانند DeerStealer، RedLine Stealer، StealC و NetSupport RAT استفاده شده است. این بدافزار با بهرهگیری از حملات فیشینگ و مخازن جعلی در GitHub، کاربران را به دانلود فایلهای آلوده وادار میکند.
به گزارش کمیته رکن چهارم، CastleLoader با ترفندهایی مانند نمایش پیامهای خطا یا کپچا در سایتهای جعلی که ظاهری شبیه پلتفرمهای نرمافزاری دارند، کاربران را به اجرای دستورات PowerShell ترغیب میکند. همچنین، مهاجمان مخازن جعلی GitHub ایجاد کرده و فایلهای مخرب را در قالب ابزارهای مفید پنهان میکنند.
CastleLoader ساختاری ماژولار و چندمرحلهای دارد و پس از فعالسازی، به سرور فرمان متصل شده و ماژولهای مورد نیاز را دریافت میکند. استفاده از تکنیکهایی مانند کدهای مرده، پکینگ، ضد تحلیل و ضد سندباکس، شناسایی آن را دشوارتر کرده است.
طبق گزارش شرکت امنیتی PRODAFT، از می ۲۰۲۵ تاکنون، این بدافزار با بهرهگیری از ۷ سرور فرماندهی، بیش از ۱۶۰۰ تلاش برای آلودهسازی ثبت کرده و ۴۶۹ دستگاه را با نرخ موفقیت ۲۸.۷٪ آلوده کرده است.
CastleLoader با ترکیب پیچیدهای از مهندسی اجتماعی، تقلید حرفهای از پلتفرمهای معتبر و ساختار فنی پیشرفته، به تهدیدی جدی در فضای امنیت سایبری تبدیل شده و نقشی کلیدی به عنوان توزیعکننده اولیه بدافزار ایفا میکند.
