Source: https://thehackernews.com/2025/07/castleloader-malware-infects-469.html
🛡 概要
CastleLoaderは新たに発見された多目的なマルウェアローダーで、情報窃取やリモートアクセス型トロイの木馬(RAT)を配布するために使用されています。スイスのサイバーセキュリティ企業PRODAFTによると、Cloudflareを模したClickFixフィッシング攻撃や、正当なアプリケーションの名前を使用した偽のGitHubリポジトリを介して感染が広がっています。CastleLoaderは、初めて今年初めに確認され、DeerStealer、RedLine、StealC、NetSupport RAT、SectopRATなどのマルウェアを配布するために利用されています。
🔍 技術詳細
CastleLoaderは、デッドコードインジェクションやパッキング技術を使用して解析を困難にし、実行時に自己展開します。その後、C2(コマンド&コントロール)サーバーに接続し、ターゲットモジュールをダウンロードして実行します。このマルウェアは、ポータブル実行可能ファイルとして配布され、埋め込まれたシェルコードを呼び出して、次の段階のマルウェアを取得します。最近のキャンペーンでは、開発ライブラリやビデオ会議プラットフォームを装ったドメインを利用して、ユーザーを欺く手法が用いられています。
⚠ 影響
CastleLoaderのキャンペーンにより、469台のデバイスが感染し、感染率は28.7%に達しています。これらの攻撃は、Google検索を介してユーザーを偽のドメインに誘導し、偽のエラーメッセージやCAPTCHAボックスを表示することで、ユーザーを操作します。また、CastleLoaderは、Hijack LoaderやDeerStealerなどの他のマルウェアと連携しており、異なる脅威アクターによって実行されるキャンペーンの重複性を示しています。
🛠 対策
感染を防ぐためには、信頼できるソースからのみソフトウェアをダウンロードし、未知のリンクやリポジトリを避けることが重要です。また、最新のセキュリティパッチを適用し、アンチウイルスソフトウェアを使用することが推奨されます。さらに、PowerShellの使用を制限し、教育を通じてユーザーの警戒心を高めることも効果的です。CastleLoaderのような複雑なマルウェアに対抗するためには、包括的なセキュリティ対策が不可欠です。
