Один клик по фальшивому GitHub проекту — и хакер получает полный контроль над ПК.
Группа TAG-150, которую исследователи связывают с развитием вредоносных инструментов CastleLoader, расширила свой арсенал новым CastleRAT. Об этом сообщила команда , отметив, что речь идёт о двух вариантах вредоноса — на Python и на C.
CastleRAT способен собирать информацию о системе, загружать и запускать дополнительные модули, а также выполнять команды через CMD и PowerShell. Python-версия известна также как PyNightshade, тогда как вариант на C имеет более широкий набор функций. Он фиксирует нажатия клавиш, делает скриншоты, загружает и выгружает файлы, а также выполняет роль криптоклиппера, подменяя скопированные в буфер обмена криптовалютные адреса на подконтрольные злоумышленникам. Для сбора сведений о жертве обе версии используют сервис ip-api[.]com, запрашивая данные о публичном IP-адресе. Если Python-вариант ограничивается базовыми параметрами, то C-версия ранее дополнительно собирала город и почтовый индекс, а также определяла, используется ли VPN, прокси или узел TOR. В новых сборках часть этих функций убрана, что указывает на продолжающуюся активную разработку.
Согласно данным Recorded Future, TAG-150 работает как минимум с марта 2025 года. CastleLoader, впервые описанный компанией PRODAFT в июле того же года, применялся для распространения множества вторичных нагрузок: DeerStealer, , StealC, NetSupport RAT, SectopRAT и Hijack Loader. Позднее IBM X-Force отметила, что через CastleLoader распространялись MonsterV2 и WARMCOOKIE — их доставка происходила через SEO-подмену поисковой выдачи и поддельные репозитории GitHub, имитирующие легитимное ПО.
Первоначальное заражение чаще всего осуществляется через фишинговые атаки под видом Cloudflare с использованием техники ClickFix или через поддельные проекты на GitHub. Варианты ClickFix эксплуатируют домены, замаскированные под библиотеки разработчиков, платформы для видеозвонков, уведомления о «обновлении браузера» и сервисы проверки документов.
Инфраструктура TAG-150 построена многоуровнево: Tier 1 включает C2-серверы, взаимодействующие с жертвами, Tier 2 и Tier 3 в основном представлены виртуальными частными серверами, а Tier 4 отведён под резервные. Для связи CastleRAT использует также скрытые механизмы: зафиксированы случаи применения профилей Steam Community как «dead drop»-решений для указания адресов управляющих серверов, один из которых имел домен programsbookss[.]com.
Канадская компания eSentire, анализировавшая этот же инструмент под названием NightshadeC2, описала его как ботнет, распространяемый через загрузчик на .NET. Этот загрузчик применяет приёмы обхода защитных механизмов Windows, включая «бомбардировку» запросами UAC (UAC Prompt Bombing). При запуске PowerShell выполняется цикл, пытающийся добавить исключение в Windows Defender для финального модуля. Если процесс возвращает код 0, это означает успешное добавление исключения, и тогда загрузчик доставляет полезную нагрузку. В противном случае цикл повторяется, вынуждая пользователя подтверждать запросы UAC вновь и вновь. Такой метод одновременно мешает работе исследовательских песочниц: если сервис Windows Defender отключён, то возврат идёт с ненулевым кодом, и система застревает в бесконечном цикле. Это позволяет обходить защитные решения и анализаторы.
Дополнительно отметила, что отдельные варианты NightshadeC2 содержат инструменты для извлечения паролей и cookie из браузеров на базе Chromium и Gecko. Это делает вредонос ещё более опасным для кражи данных.
На фоне обнаружения CastleRAT появились сообщения о других новых загрузчиках и троянах. Hunt.io описала TinyLoader — инструмент, который применяется для установки Redline Stealer и DCRat. TinyLoader закрепляется в системе через изменения в реестре Windows, контролирует буфер обмена и мгновенно подменяет криптовалютные адреса. Его панели управления размещены на серверах в Латвии, Великобритании и Нидерландах. Распространяется он через заражённые USB-накопители, сетевые ресурсы и поддельные ярлыки.
Параллельно были зафиксированы ещё два вредоноса. Первый — кейлоггер TinkyWinkey для Windows, сочетающий постоянное выполнение через системные сервисы, низкоуровневые перехватчики нажатий клавиш и сбор подробных сведений о системе. Второй — Python-стилер Inf0s3c Stealer, который собирает сведения о хосте, процессоре, сетевой конфигурации, делает скриншоты, проверяет активные процессы и строит иерархию пользовательских каталогов, включая Desktop, Documents, Pictures и Downloads. Анализ Inf0s3c Stealer показал схожие черты с публичными проектами Blank Grabber и Umbral-Stealer, что указывает на возможного общего автора.
В совокупности эти находки демонстрируют быстрый рост . CastleLoader и CastleRAT формируют основу целой серии атак, открывая путь для распространения стилеров, и других загрузчиков. Одновременно на сцене появляются новые проекты вроде TinyLoader, TinkyWinkey и Inf0s3c Stealer, что подчёркивает активное развитие теневого рынка вредоносных инструментов.
Подробнее:
Группа TAG-150, которую исследователи связывают с развитием вредоносных инструментов CastleLoader, расширила свой арсенал новым CastleRAT. Об этом сообщила команда , отметив, что речь идёт о двух вариантах вредоноса — на Python и на C.
CastleRAT способен собирать информацию о системе, загружать и запускать дополнительные модули, а также выполнять команды через CMD и PowerShell. Python-версия известна также как PyNightshade, тогда как вариант на C имеет более широкий набор функций. Он фиксирует нажатия клавиш, делает скриншоты, загружает и выгружает файлы, а также выполняет роль криптоклиппера, подменяя скопированные в буфер обмена криптовалютные адреса на подконтрольные злоумышленникам. Для сбора сведений о жертве обе версии используют сервис ip-api[.]com, запрашивая данные о публичном IP-адресе. Если Python-вариант ограничивается базовыми параметрами, то C-версия ранее дополнительно собирала город и почтовый индекс, а также определяла, используется ли VPN, прокси или узел TOR. В новых сборках часть этих функций убрана, что указывает на продолжающуюся активную разработку.
Согласно данным Recorded Future, TAG-150 работает как минимум с марта 2025 года. CastleLoader, впервые описанный компанией PRODAFT в июле того же года, применялся для распространения множества вторичных нагрузок: DeerStealer, , StealC, NetSupport RAT, SectopRAT и Hijack Loader. Позднее IBM X-Force отметила, что через CastleLoader распространялись MonsterV2 и WARMCOOKIE — их доставка происходила через SEO-подмену поисковой выдачи и поддельные репозитории GitHub, имитирующие легитимное ПО.
Первоначальное заражение чаще всего осуществляется через фишинговые атаки под видом Cloudflare с использованием техники ClickFix или через поддельные проекты на GitHub. Варианты ClickFix эксплуатируют домены, замаскированные под библиотеки разработчиков, платформы для видеозвонков, уведомления о «обновлении браузера» и сервисы проверки документов.
Инфраструктура TAG-150 построена многоуровнево: Tier 1 включает C2-серверы, взаимодействующие с жертвами, Tier 2 и Tier 3 в основном представлены виртуальными частными серверами, а Tier 4 отведён под резервные. Для связи CastleRAT использует также скрытые механизмы: зафиксированы случаи применения профилей Steam Community как «dead drop»-решений для указания адресов управляющих серверов, один из которых имел домен programsbookss[.]com.
Канадская компания eSentire, анализировавшая этот же инструмент под названием NightshadeC2, описала его как ботнет, распространяемый через загрузчик на .NET. Этот загрузчик применяет приёмы обхода защитных механизмов Windows, включая «бомбардировку» запросами UAC (UAC Prompt Bombing). При запуске PowerShell выполняется цикл, пытающийся добавить исключение в Windows Defender для финального модуля. Если процесс возвращает код 0, это означает успешное добавление исключения, и тогда загрузчик доставляет полезную нагрузку. В противном случае цикл повторяется, вынуждая пользователя подтверждать запросы UAC вновь и вновь. Такой метод одновременно мешает работе исследовательских песочниц: если сервис Windows Defender отключён, то возврат идёт с ненулевым кодом, и система застревает в бесконечном цикле. Это позволяет обходить защитные решения и анализаторы.
Дополнительно отметила, что отдельные варианты NightshadeC2 содержат инструменты для извлечения паролей и cookie из браузеров на базе Chromium и Gecko. Это делает вредонос ещё более опасным для кражи данных.
На фоне обнаружения CastleRAT появились сообщения о других новых загрузчиках и троянах. Hunt.io описала TinyLoader — инструмент, который применяется для установки Redline Stealer и DCRat. TinyLoader закрепляется в системе через изменения в реестре Windows, контролирует буфер обмена и мгновенно подменяет криптовалютные адреса. Его панели управления размещены на серверах в Латвии, Великобритании и Нидерландах. Распространяется он через заражённые USB-накопители, сетевые ресурсы и поддельные ярлыки.
Параллельно были зафиксированы ещё два вредоноса. Первый — кейлоггер TinkyWinkey для Windows, сочетающий постоянное выполнение через системные сервисы, низкоуровневые перехватчики нажатий клавиш и сбор подробных сведений о системе. Второй — Python-стилер Inf0s3c Stealer, который собирает сведения о хосте, процессоре, сетевой конфигурации, делает скриншоты, проверяет активные процессы и строит иерархию пользовательских каталогов, включая Desktop, Documents, Pictures и Downloads. Анализ Inf0s3c Stealer показал схожие черты с публичными проектами Blank Grabber и Umbral-Stealer, что указывает на возможного общего автора.
В совокупности эти находки демонстрируют быстрый рост . CastleLoader и CastleRAT формируют основу целой серии атак, открывая путь для распространения стилеров, и других загрузчиков. Одновременно на сцене появляются новые проекты вроде TinyLoader, TinkyWinkey и Inf0s3c Stealer, что подчёркивает активное развитие теневого рынка вредоносных инструментов.
Подробнее:
