CastleLoader มัลแวร์ตัวใหม่ ระบาดหนัก 469 เครื่อง ผ่าน GitHub ปลอมและ ClickFix Phishing
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับมัลแวร์โหลดเดอร์ตัวใหม่ที่ชื่อว่า "CastleLoader" ซึ่งถูกนำไปใช้ในการโจมตีเพื่อกระจายโปรแกรมขโมยข้อมูล (information stealers) และโทรจันควบคุมระยะไกล (RATs) ชนิดต่างๆ
บริษัท PRODAFT ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ของสวิสเซอร์แลนด์ เปิดเผยในรายงานที่แชร์กับ The Hacker News ว่า กิจกรรมนี้ใช้การโจมตีแบบฟิชชิ่ง "ClickFix" ที่มีธีม Cloudflare และที่เก็บข้อมูล GitHub ปลอมที่เปิดภายใต้ชื่อของแอปพลิเคชันที่ถูกต้อง
มัลแวร์โหลดเดอร์นี้ถูกตรวจพบครั้งแรกในช่วงต้นปีนี้ และถูกใช้เพื่อกระจาย DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT และแม้แต่โหลดเดอร์อื่นๆ เช่น Hijack Loader
"มันใช้เทคนิคการฉีดโค้ดที่ตายแล้วและการแพ็คเพื่อขัดขวางการวิเคราะห์" บริษัทกล่าว "หลังจากแกะแพ็คตัวเองในขณะรันไทม์ มันจะเชื่อมต่อกับเซิร์ฟเวอร์ C2 (command-and-control) ดาวน์โหลดโมดูลเป้าหมาย และดำเนินการ"
โครงสร้างแบบโมดูลาร์ของ CastleLoader ช่วยให้สามารถทำหน้าที่เป็นทั้งกลไกการส่งมอบและยูทิลิตีการจัดเตรียม ทำให้ผู้คุกคามสามารถแยกการติดเชื้อเริ่มต้นจากการปรับใช้เพย์โหลดได้ การแยกนี้ทำให้การระบุแหล่งที่มาและการตอบสนองซับซ้อนขึ้น เนื่องจากมันแยกเวกเตอร์การติดเชื้อออกจากพฤติกรรมของมัลแวร์ในที่สุด ทำให้ผู้โจมตีมีความยืดหยุ่นมากขึ้นในการปรับเปลี่ยนแคมเปญเมื่อเวลาผ่านไป
เพย์โหลดของ CastleLoader ถูกแจกจ่ายเป็นไฟล์ปฏิบัติการแบบพกพาที่มีเชลล์โค้ดฝังอยู่ ซึ่งจะเรียกโมดูลหลักของโหลดเดอร์ ซึ่งจะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อดึงและดำเนินการมัลแวร์ระยะถัดไป
การโจมตีที่กระจายมัลแวร์นี้อาศัยเทคนิค ClickFix ที่แพร่หลายบนโดเมนที่ปลอมตัวเป็นไลบรารีการพัฒนาซอฟต์แวร์ แพลตฟอร์มการประชุมทางวิดีโอ การแจ้งเตือนการอัปเดตเบราว์เซอร์ หรือระบบยืนยันเอกสาร ซึ่งสุดท้ายแล้วหลอกให้ผู้ใช้คัดลอกและรันคำสั่ง PowerShell ที่เปิดใช้งานห่วงโซ่การติดเชื้อ
เหยื่อจะถูกนำไปยังโดเมนปลอมผ่านการค้นหาของ Google ซึ่งในขณะนั้นพวกเขาจะได้รับหน้าเว็บที่มีข้อความแสดงข้อผิดพลาดปลอมและกล่องยืนยัน CAPTCHA ที่พัฒนาโดยผู้คุกคาม โดยขอให้พวกเขาดำเนินการตามชุดคำสั่งเพื่อแก้ไขปัญหาที่คาดว่าจะเป็น
อีกทางหนึ่ง CastleLoader ใช้ที่เก็บข้อมูล GitHub ปลอมที่เลียนแบบเครื่องมือที่ถูกต้องเป็นเวกเตอร์การกระจาย ทำให้ผู้ใช้ที่ดาวน์โหลดโดยไม่รู้ตัวเครื่องของตนติดมัลแวร์แทน
"เทคนิคนี้ใช้ประโยชน์จากความไว้วางใจของนักพัฒนาใน GitHub และแนวโน้มของพวกเขาที่จะรันคำสั่งการติดตั้งจากที่เก็บข้อมูลที่ดูน่าเชื่อถือ" PRODAFT กล่าว
การละเมิดทางสังคมวิศวกรรมเชิงกลยุทธ์นี้สะท้อนถึงเทคนิคที่ใช้ในการเข้าถึงเบื้องต้นของโบรกเกอร์ (IABs) ซึ่งเน้นย้ำถึงบทบาทของมันในห่วงโซ่อุปทานอาชญากรรมไซเบอร์ที่กว้างขึ้น
PRODAFT กล่าวว่าได้สังเกตเห็น Hijack Loader ถูกส่งผ่าน DeerStealer รวมถึง CastleLoader โดยที่ CastleLoader ยังแพร่กระจายตัวแปร DeerStealer ด้วย สิ่งนี้ชี้ให้เห็นถึงลักษณะที่ทับซ้อนกันของแคมเปญเหล่านี้ แม้ว่าจะถูกควบคุมโดยผู้คุกคามที่แตกต่างกัน ตั้งแต่เดือนพฤษภาคม 2025 แคมเปญ CastleLoader ได้ใช้เซิร์ฟเวอร์ C2 เจ็ดแห่งที่แตกต่างกัน โดยมีการพยายามติดเชื้อมากกว่า 1,634 ครั้งในช่วงเวลาดังกล่าว การวิเคราะห์โครงสร้างพื้นฐาน C2 และแผงควบคุมบนเว็บ ซึ่งใช้ในการดูแลและจัดการการติดเชื้อ แสดงให้เห็นว่ามีอุปกรณ์มากถึง 469 เครื่องถูกบุกรุก ส่งผลให้อัตราการติดเชื้ออยู่ที่ 28.7%
นักวิจัยยังสังเกตเห็นองค์ประกอบของการป้องกันแซนด์บ็อกซ์และการปกปิด ซึ่งเป็นคุณสมบัติทั่วไปในโหลดเดอร์ขั้นสูงเช่น SmokeLoader หรือ IceID เมื่อรวมกับการใช้ PowerShell ในทางที่ผิด การปลอมแปลง GitHub และการแกะแพ็คแบบไดนามิก CastleLoader สะท้อนถึงแนวโน้มที่เพิ่มขึ้นในโหลดเดอร์มัลแวร์ที่เน้นการซ่อนตัวซึ่งทำหน้าที่เป็นตัวจัดเตรียมในระบบนิเวศของมัลแวร์เป็นบริการ (MaaS)
"Castle Loader เป็นภัยคุกคามใหม่และยังคงมีการเคลื่อนไหว โดยได้รับการนำไปใช้อย่างรวดเร็วในแคมเปญที่เป็นอันตรายต่างๆ เพื่อปรับใช้โหลดเดอร์และสปายแวร์อื่นๆ มากมาย" PRODAFT กล่าว "เทคนิคการต่อต้านการวิเคราะห์ที่ซับซ้อนและกระบวนการติดเชื้อหลายขั้นตอนเน้นย้ำถึงประสิทธิภาพของมันในฐานะกลไกการกระจายหลักในสถานการณ์ภัยคุกคามปัจจุบัน"
"แผงควบคุม C2 แสดงให้เห็นถึงความสามารถในการดำเนินงานที่มักเกี่ยวข้องกับข้อเสนอของมัลแวร์เป็นบริการ (MaaS) ซึ่งชี้ให้เห็นว่าผู้ดำเนินการมีประสบการณ์ในการพัฒนาโครงสร้างพื้นฐานอาชญากรรมไซเบอร์"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก