Image by Xavier Cee, from Unsplash
Кампания вредоносного ПО CastleLoader атакует правительство США и разработчиков
Время для прочтения: 2 мин.
Последние обновления: Jul 29, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Новое и опасное вредоносное ПО под названием CastleLoader заражает пользователей через поддельные веб-сайты и репозитории GitHub.
Торопитесь? Вот краткие факты:
- Вредоносное ПО CastleLoader заразило 469 устройств, включая системы правительства США.
- Вредоносное ПО распространяется через поддельные обновления ClickFix и репозитории GitHub.
- Обман GitHub заманивает разработчиков на загрузку вредоносных файлов.
С момента своего обнаружения в начале 2025 года, CastleLoader заразил не менее 469 устройств по всему миру, включая системы правительства США, как впервые сообщила кибербезопасная компания PRODAFT.
Исследователи объясняют, что CastleLoader функционирует как платформа для распространения вредоносного ПО, которая распространяет RedLine вместе со StealC, DeerStealer, NetSupport RAT и HijackLoader.
Вредоносные программы позволяют злоумышленникам красть пароли, cookies и криптовалютные кошельки, а также обеспечивают им удаленный доступ к устройствам жертв.
Атакующие используют фальшивые фишинговые сайты ClickFix, которые имитируют легитимные источники, такие как Google Meet, обновления браузера и проверка документов. Пользователи, следуя фальшивым инструкциям по исправлению ошибок на экране, в итоге запускают вредоносные команды PowerShell, которые инициируют последовательность заражения без их ведома.
«Castle Loader — это новая и активная угроза, быстро принятая различными вредоносными кампаниями для развертывания целого ряда других загрузчиков и воров,» — сказал PRODAFT, как сообщает The Hacker News.
«Его изощренные методы анти-анализа и многоступенчатый процесс заражения подчеркивают его эффективность в качестве основного механизма распространения в текущем контексте угроз,» — добавили исследователи.
CastleLoader также распространяется через фальшивые репозитории на GitHub, которые, как представляется, содержат надежные инструменты разработчиков. Эти обманчивые страницы заставляют пользователей устанавливать вредоносное ПО, эксплуатируя доверие к платформам вроде GitHub.
Вредоносное ПО также использует поддельные репозитории GitHub, которые притворяются хостами разработчиков инструментов для распространения своих инфекций. Пользователи, посещающие эти обманчивые страницы, в конце концов устанавливают вредоносное ПО, потому что они доверяют платформе GitHub.
Исследователи идентифицируют это вредоносное ПО как часть более широкой операции MaaS. Панель управления C2 предоставляет хакерам возможности в режиме реального времени для управления зараженными системами, выполнения атак и изменения своих кампаний.
«Этот метод использует доверие разработчиков к GitHub и их склонность запускать команды установки из репозиториев, которые кажутся авторитетными,» — отметили в PRODAFT.
С уровнем инфекции почти в 29%, эксперты предупреждают пользователей избегать незнакомых сайтов с обновлениями и дважды проверять все источники программного обеспечения.
Предыдущая история
Последние статьи 
