Pesquisadores da PRODAFT revelaram detalhes sobre o CastleLoader, um novo e sofisticado carregador de malware usado em campanhas que distribuem stealers e trojans de acesso remoto (RATs). Desde maio de 2025, o CastleLoader foi responsável por comprometer 469 dispositivos, com 1.634 tentativas de infecção detectadas uma taxa de sucesso de 28,7%. O malware utiliza ataques de phishing ClickFix com aparência da Cloudflare e repositórios falsos no GitHub que imitam softwares legítimos.
Usuários são induzidos a copiar comandos PowerShell ao visitar páginas com mensagens de erro e caixas de CAPTCHA falsas, acreditando corrigir problemas inexistentes. Além disso, o CastleLoader tira proveito da confiança dos desenvolvedores no GitHub, levando ao download de códigos maliciosos hospedados em repositórios que parecem legítimos.
Essa abordagem reforça o papel do CastleLoader como parte de uma cadeia criminosa mais ampla, semelhante à estratégia de corretores de acesso inicial (IABs). Modular, o CastleLoader atua tanto como vetor de infecção quanto como ferramenta de preparação, separando o acesso inicial da execução do malware final. Ele injeta códigos mortos para dificultar análises e se conecta a servidores de comando (C2) para baixar módulos adicionais. Suas técnicas incluem anti-sandboxing, empacotamento dinâmico e obfuscação, comuns em loaders avançados como SmokeLoader e IceID. Além de distribuir variantes do DeerStealer, RedLine, StealC, SectopRAT e NetSupport RAT, o CastleLoader também foi usado para propagar outros loaders como o Hijack Loader. A estrutura do seu painel C2 indica um nível de sofisticação compatível com operações de malware como serviço (MaaS), sinalizando que seus operadores têm experiência consolidada nesse ecossistema.
