Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant CastleLoader

Logiciel malveillant CastleLoader

Par Mezo en Logiciels malveillants
Se traduisent par :

Dans le paysage en constante évolution des cybermenaces, un nouveau chargeur de malware baptisé CastleLoader s'est imposé comme un outil majeur dans l'arsenal des cybercriminels. Détecté pour la première fois début 2025, CastleLoader a rapidement gagné en popularité grâce à sa modularité, ses tactiques d'évasion avancées et son adaptabilité. Les chercheurs ont observé son rôle dans de nombreuses campagnes déployant des voleurs d'informations et des chevaux de Troie d'accès à distance (RAT), ce qui en fait une préoccupation croissante dans l'écosystème des logiciels malveillants en tant que service (MaaS).

La polyvalence en action : un outil de distribution puissant

CastleLoader a été utilisé pour diffuser une large gamme de charges utiles malveillantes, notamment :

  • Voleurs d'informations : DeerStealer, RedLine, StealC
  • Chevaux de Troie d'accès à distance (RAT) : NetSupport RAT, SectopRAT

Sa structure modulaire permet à CastleLoader de servir à la fois de dropper initial et de chargeur secondaire, permettant aux attaquants de dissocier le vecteur d'infection de la charge utile. Cette séparation complique les efforts de détection et de réponse, rendant l'attribution considérablement plus difficile.

Obfuscation et évasion : garder une longueur d’avance

CastleLoader utilise plusieurs techniques avancées pour éviter la détection et entraver l'analyse :

  • Injection de code mort et emballage pour masquer sa véritable fonctionnalité.
  • Déballage d'exécution pour retarder l'exécution jusqu'à ce que les couches d'analyse initiales soient évitées.
  • Mesures anti-sandboxing et obfuscation, comparables à des chargeurs sophistiqués comme SmokeLoader et IceID.

Une fois décompressé, le chargeur accède à son serveur de commande et de contrôle (C2), télécharge les modules supplémentaires et lance leur exécution. Les charges utiles sont généralement livrées sous forme d'exécutables portables intégrant un shellcode, qui lance les routines principales du chargeur.

Tactiques et techniques : la tromperie à son cœur

Les campagnes utilisant CastleLoader s'appuient fortement sur l'ingénierie sociale, notamment :

Attaques de phishing sur le thème de ClickFix
Les victimes sont attirées vers des domaines malveillants, se faisant passer pour des plateformes de visioconférence, des mises à jour de navigateur, des bibliothèques de développement ou des portails de vérification de documents, via des résultats de recherche Google corrompus. Ces pages contiennent de faux messages d'erreur ou des invites CAPTCHA qui demandent aux utilisateurs d'exécuter des commandes PowerShell, déclenchant ainsi l'infection sans le savoir. Les attaques ClickFix sont devenues une technique répandue adoptée par de nombreux groupes de pirates informatiques.

Faux dépôts GitHub
CastleLoader se propage également via des dépôts imitant des outils open source légitimes. Des développeurs peu méfiants peuvent exécuter des scripts d'installation apparemment fiables depuis ces dépôts, infectant ainsi leurs systèmes sans le savoir. Cette tactique exploite la légitimité perçue de GitHub et la confiance habituelle des développeurs envers les dépôts ouverts.

Ces stratégies reflètent les techniques couramment utilisées par les courtiers d'accès initial (IAB), renforçant la position de CastleLoader au sein d'une chaîne d'approvisionnement cybercriminelle plus large.

Campagnes qui se chevauchent et portée élargie

Les chercheurs ont documenté l'utilisation croisée de CastleLoader et de DeerStealer, notant que certaines variantes de Hijack Loader étaient diffusées via les deux outils. Bien que les auteurs de menaces derrière chaque campagne puissent différer, l'utilisation simultanée des chargeurs indique un écosystème ou un modèle de service partagé entre les groupes cybercriminels.

Depuis mai 2025, CastleLoader a été observé utilisant sept serveurs C2 uniques, avec 1 634 tentatives d'infection enregistrées. Parmi celles-ci, 469 appareils ont été compromis, soit un taux de réussite d'infection de 28,7 %.

L’infrastructure derrière la menace

L'infrastructure C2 supportant CastleLoader est particulièrement robuste. Son panneau de contrôle web associé offre un contrôle centralisé des systèmes infectés, reprenant les fonctionnalités des plateformes de malwares en tant que service. Cela témoigne d'une équipe expérimentée et organisée derrière le développement et le déploiement du chargeur.

Principaux points à retenir : la menace croissante de CastleLoader

CastleLoader n'est pas seulement un chargeur, c'est un outil stratégique pour des campagnes de malware plus larges.

Sa conception modulaire, ses fonctionnalités anti-analyse et ses diverses tactiques de diffusion en font un outil de choix pour les acteurs de la menace à la recherche de flexibilité et de furtivité.

En abusant de plateformes de confiance comme GitHub et en exploitant le comportement des utilisateurs par le biais de l'ingénierie sociale, CastleLoader souligne la nécessité d'une vigilance accrue et de stratégies défensives dans les environnements d'entreprise et de développement.

Alors que cette menace continue d’évoluer, les défenseurs doivent rester attentifs aux nouvelles tactiques et renforcer les défenses contre les chargeurs qui opèrent dans les coulisses pour alimenter la cybercriminalité à grande échelle.

 

Tendance

Le plus regardé

Chargement...