كشف باحثو الأمن السيبراني عن برمجية تحميل خبيثة جديدة تُعرف باسم CastleLoader، استُخدمت في حملات لنشر أدوات سرقة معلومات وأحصنة طروادة للتحكم عن بُعد (RATs). ووفقًا لتقرير صادر عن شركة الأمن السيبراني السويسرية PRODAFT، فإن CastleLoader تعتمد على هجمات تصيّد بأسلوب ClickFix المنتحلة لعلامة Cloudflare التجارية، إلى جانب مستودعات GitHub مزيفة تحمل أسماء تطبيقات شرعية.
تُستخدم CastleLoader لتوزيع مجموعة متنوعة من البرمجيات الخبيثة مثل DeerStealer وRedLine وStealC وNetSupport RAT وSectopRAT، بل وحتى برمجيات تحميل أخرى مثل Hijack Loader. وأشار التقرير إلى أن البرمجية تعتمد على تقنيات مثل “حقن الشيفرة الميتة” وتقنيات التغليف لتضليل أدوات التحليل.
هيكلية معيارية لفصل العدوى الأولية عن التنفيذ النهائي
تتميز CastleLoader ببنية معيارية تمكّنها من العمل كأداة توصيل أوليّة وأداة تمهيد لنشر الحمولة الرئيسية. ويُعقّد هذا الفصل بين العدوى الأولية والسلوك النهائي للبرمجية من جهود الرد والتعقب، كما يمنح المهاجمين مرونة أكبر في تعديل حملاتهم مع مرور الوقت.
توزّع CastleLoader على شكل ملفات تنفيذية محمولة تحتوي على shellcode مضمن، يعمل بدوره على تفعيل الوحدة الأساسية للبرمجية التي تتصل بخادم القيادة والسيطرة (C2) لجلب البرمجيات الخبيثة التالية وتنفيذها.
استغلال نتائج البحث وخداع المستخدمين بتنبيهات زائفة
تعتمد الهجمات على تقنية ClickFix من خلال مواقع تنتحل صفة مكتبات برمجية ومنصات مؤتمرات فيديو وإشعارات تحديث المتصفح وأنظمة التحقق من الوثائق. وتُستخدم هذه المواقع لخداع المستخدمين عبر نتائج البحث في Google، حيث تُعرض عليهم رسائل خطأ وصناديق CAPTCHA زائفة، وتُطلب منهم تنفيذ أوامر PowerShell تؤدي إلى تفعيل سلسلة العدوى.
مستودعات GitHub مزيفة كوسيلة توزيع خبيثة
علاوة على ذلك، تستخدم CastleLoader مستودعات GitHub مزيفة تنتحل أسماء أدوات شرعية، مما يوقع بالمطورين الذين يثقون في هذه المستودعات ويدفعهم إلى تشغيل أوامر تثبيت تنتهي بإصابة أجهزتهم. وذكرت PRODAFT أن هذه التقنية تستغل ثقة المطورين في منصة GitHub وعادتهم في تشغيل الأوامر من مستودعات تبدو موثوقة.
وتُعد هذه الهندسة الاجتماعية امتدادًا لأساليب وسطاء الوصول الأولي (IABs)، ما يوضح موقع CastleLoader ضمن سلسلة الإمداد الإجرامية الإلكترونية الأوسع.
ترابط الحملات واستخدام بنية تحتية متقدمة للقيادة والسيطرة
رصد الباحثون استخدام CastleLoader وDeerStealer في نشر Hijack Loader، مما يشير إلى وجود تداخل في الحملات رغم اختلاف الجهات الفاعلة وراءها. ومنذ مايو 2025، تم استخدام سبعة خوادم C2 مختلفة في حملات CastleLoader، سُجل خلالها أكثر من 1,634 محاولة إصابة، نُجحت منها 469 عملية، أي بمعدل إصابة بلغ 28.7%.
وأظهر تحليل البنية التحتية لـ CastleLoader ولوحة التحكم الخاصة بها، والمستخدمة لإدارة الإصابات، مستوى من الاحترافية يشير إلى ارتباطها بعروض البرمجيات الخبيثة كخدمة (MaaS).
سمات متقدمة تُقوّي قدرة البرمجية على التخفي والتأثير
تمت ملاحظة تقنيات متقدمة لمكافحة التحليل الافتراضي والإخفاء، شبيهة بما هو موجود في برمجيات مثل SmokeLoader وIceID. وتجمع CastleLoader بين إساءة استخدام PowerShell، وانتحال GitHub، والتفريغ الديناميكي، ما يجعلها مثالًا على التحول نحو برمجيات تحميل خبيثة تركّز على التخفي وتعمل كوسطاء في بيئة MaaS.
وخلصت PRODAFT إلى أن CastleLoader تمثل تهديدًا نشطًا ومتطورًا، تبنّته حملات متنوعة لنشر أدوات تحميل وسرقة متعددة. وتُظهر تقنيات مكافحة التحليل المتقدمة وسير العدوى متعدد المراحل مدى فعاليتها كوسيلة توزيع أساسية في مشهد التهديدات الحالي.
