برمجية CastleLoader تخترق 469 جهازًا عبر مستودعات GitHub مزيفة وهجمات ClickFix التصيدية
تحليل أمني - 24 يوليو 2025
الكاتب: مايستر نيرو
كشف باحثون في الأمن السيبراني عن برمجية تحميل خبيثة جديدة ومتعددة المهام تُدعى CastleLoader، تُستخدم لتوزيع أدوات سرقة معلومات وأحصنة طروادة (RATs) في حملات مستهدفة.
وفقًا لتقرير صادر عن شركة PRODAFT السويسرية، فإن CastleLoader تعتمد على هجمات تصيدية باسم ClickFix مستوحاة من Cloudflare، بالإضافة إلى مستودعات GitHub مزيفة تظهر على أنها أدوات شرعية.
آلية عمل CastleLoader
تم رصد CastleLoader لأول مرة في وقت مبكر من عام 2025، واستخدمت لتوزيع برمجيات خبيثة مثل DeerStealer وRedLine وStealC وNetSupport RAT وSectopRAT، وأيضًا برمجيات تحميل أخرى مثل Hijack Loader.
تعتمد البرمجية على تقنيات مثل حقن الشيفرات الميتة (Dead Code Injection) وضغط البيانات لتعقيد التحليل. بعد فك الضغط ذاتيًا أثناء التشغيل، تتصل بخادم تحكم وتحميل (C2) لتنزيل وتشغيل وحدات إضافية.
تقنيات التصيد والتوزيع
تُوزع حمولة CastleLoader كملفات تنفيذية تحتوي على shellcode مدمج، يقوم بدوره بتنزيل وتشغيل الوحدة الأساسية من البرمجية، والتي تتصل بخادم C2 للحصول على البرمجيات التالية.
تعتمد الهجمات على خداع المستخدم عبر صفحات تحتوي على رسائل خطأ وهمية ومربعات تحقق CAPTCHA، تطلب منه تنفيذ أوامر PowerShell، مما يؤدي إلى تفعيل سلسلة العدوى.
بالإضافة لذلك، تُستخدم مستودعات GitHub مزيفة تُقلد أدوات مشهورة، يستهدف من خلالها مطورين يثقون في GitHub وينفذون أوامر التثبيت دون التحقق الكافي.
التحليل الفني والإصابات المسجلة
منذ مايو 2025، تم تسجيل أكثر من 1634 محاولة إصابة باستخدام CastleLoader، نتج عنها اختراق فعلي لـ 469 جهازًا، بمعدل إصابة وصل إلى 28.7%.
أظهرت البرمجية خصائص مضادة للتحليل مثل منع التشغيل داخل بيئات Sandbox، وتشفير ديناميكي للملفات، واستغلال PowerShell في سلسلة العدوى. كما تشارك CastleLoader في حملات معقدة تتداخل مع برمجيات أخرى مثل Hijack Loader وDeerStealer.
CastleLoader هي برمجية تحميل خبيثة متعددة المهام تعتمد على التصيد الاجتماعي، GitHub المزيف، والتقنيات المتقدمة للتخفي والتحكم. تمثل تهديدًا متطورًا ضمن منظومة برمجيات الهجمات كخدمة (MaaS).
تم التعديل في: 24 يوليو 2025