CastleLoader: Yeni Bir Tehdit
Son yıllarda siber güvenlik alanında önemli gelişmeler yaşanıyor. Siber suçluların kullandığı yöntemler ve araçlar sürekli evrim geçiriyor. Bu bağlamda, yeni ortaya çıkan ve çok yönlü bir malware loader olarak bilinen CastleLoader dikkat çekiyor. Siber güvenlik araştırmacıları, bu malware loader’ın çeşitli bilgi hırsızları ve uzaktan erişim truva atları dağıtımında kullanıldığını ortaya koydu.
Malware’ın Dağıtım Yöntemleri
CastleLoader, Cloudflare temalı ClickFix phishing saldırıları ve meşru uygulamaların isimlerini taşıyan sahte GitHub depoları üzerinden dağıtılmaktadır. İsviçre merkezli bir siber güvenlik şirketi olan PRODAFT, bu konuda önemli bilgiler paylaşarak, bu zararlı yazılımın ilk olarak bu yılın başlarında siber ortamda gözlemlendiğini belirtiyor.
Malware loader, DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT ve diğer yükleyiciler gibi çeşitli zararlı yazılımları dağıtmak için kullanılmakta. PRODAFT, “Kötü niyetli yazılım, analiz edilmesini zorlaştırmak için ölü kod enjekte etme ve paketleme tekniklerini kullanmaktadır” diyor. Bu malware, çalışma zamanında kendini açığa çıkardıktan sonra, bir C2 (komut ve kontrol) sunucusuna bağlantı kurarak hedef modülleri indirir ve çalıştırır.
Kullanıcıları Tuzağa Düşürme Yöntemleri
CastleLoader, kullanıcıları sahte yazılım geliştirme kütüphaneleri, video konferans platformları, tarayıcı güncelleme bildirimleri veya belge doğrulama sistemleri gibi alanlara yönlendiren ClickFix tekniğine dayanmaktadır. Kullanıcılar, PowerShell komutlarını kopyalayıp çalıştırmaları için sahte hata mesajları ve CAPTCHA onay kutuları ile karşılaşmaktadır. Bu tamamen kötü niyetli bir plandır ve kullanımın önünü açar.
Buna ek olarak, CastleLoader sahte GitHub depolarını dağıtım vektörü olarak kullanmaktadır. Bu durum, kullanıcıların farkında olmadan bu depolardan yazılım indirerek, bilgisayarlarını zararlı yazılımlara maruz bırakmalarına neden olmaktadır. PRODAFT, “Bu teknik, geliştiricilerin GitHub’a olan güvenini sömürmekte ve itibar görmüş gibi görünen depolardan kurulum komutları çalıştırma eğilimini suistimal etmektedir” şeklinde açıklama yapmaktadır.
Malware’ın Yapısı ve İşleyişi
CastleLoader, modüler yapısı sayesinde hem bir dağıtım mekanizması hem de bir sahneleme aracı olarak işlev görmektedir. Bu, tehdit aktörlerinin ilk enfeksiyonu yükden ayırarak, yükleme aşamasını daha esnek hale getirmelerini sağlamaktadır. Bu ayrım, enfeksiyon vektörünü nihai zararlı yazılım davranışından ayırdığı için atıfta bulunmayı ve yanıtı zorlaştırıyor.
Dağıtım sırasında kullanılan yüklemeler, gömülü bir shellcode içeren taşınabilir yürütülebilir dosyalar olarak dağıtılmaktadır. Bu shellcode ana yükleyicinin ana modülünü çağırarak, C2 sunucusuna bağlanır ve sonraki aşama malware’ı indirir. PRODAFT’ın verdiği bilgilere göre, CastleLoader kampanyaları Mayıs 2025 itibarıyla toplam yedi farklı C2 sunucusunu kullanmıştır ve bu dönem içerisinde 1,634 enfeksiyon girişimi tespit edilmiştir.
Kampanyaların Etkisi ve Sonuçları
CastleLoader, 469 cihazı etkileyerek %28.7’lik bir enfeksiyon oranına ulaşmıştır. Araştırmalar, anti-sandbox ve obfuscation gibi, SmokeLoader veya IceID gibi gelişmiş yükleyicilerde tipik olan özelliklerin varlığını da gözlemlemiştir. Bu durum, PowerShell istismarı, GitHub’ı taklit etme ve dinamik açığa çıkarma ile bir araya geldiğinde, CastleLoader’ın malware-as-a-service (MaaS) ekosistemlerinde bir sahneleyici olarak faaliyet gösteren gizlilik odaklı yazılımlar arasında yükselen bir trendi yansıttığını göstermektedir.
Gelecek Tehditleri
CastleLoader, yeni ve aktif bir tehdit olarak dikkat çekmektedir. Farklı kötü niyetli kampanyalar tarafından hızla benimsenen bu malware loader, bir dizi diğer yükleyici ve hırsız dağıtımında etkili bir mekanizma olarak öne çıkmaktadır. Anti-analiz teknikleri ve çok aşamalı enfeksiyon süreci, mevcut tehdit ortamında etkili bir dağıtım mekaniği olduğunu kanıtlıyor.
C2 panelinin işlevselliği, gelişmiş bir siber suçlu altyapı geliştirme tecrübesine sahip operatörlerin bulunduğunu göstermektedir. Siber güvenlik alanında bu tür tehditlerin artışı, kullanıcıların daha dikkatli olmasını ve siber saldırılara karşı daha güçlü savunmalar geliştirmesini zorunlu hale getiriyor. Bu, sadece bireyler değil, aynı zamanda şirketler ve kuruluşlar için de önemli bir tehlike oluşturmaktadır.
