Image by Xavier Cee, from Unsplash
La campagna di malware CastleLoader colpisce il governo degli Stati Uniti e gli sviluppatori
Tempo di lettura: 3 Min.
Ultimo aggiornamento: Jul 29, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Un nuovo e pericoloso malware chiamato CastleLoader sta infettando gli utenti attraverso falsi siti web e repository GitHub.
Sei di fretta? Ecco i fatti essenziali:
- Il malware CastleLoader ha infettato 469 dispositivi, inclusi i sistemi del governo degli Stati Uniti.
- Il malware si diffonde tramite falsi aggiornamenti ClickFix e repository GitHub.
- L’inganno GitHub induce gli sviluppatori a scaricare file malevoli.
Dalla sua scoperta all’inizio del 2025, CastleLoader ha infettato almeno 469 dispositivi in tutto il mondo, inclusi i sistemi governativi degli Stati Uniti, come riportato per la prima volta dalla società di cybersecurity PRODAFT.
Le ricercatrici spiegano che CastleLoader funziona come una piattaforma di distribuzione di malware, che diffonde RedLine insieme a StealC, DeerStealer, NetSupport RAT e HijackLoader.
I programmi malevoli permettono agli aggressori di rubare password, cookie e portafogli di criptovalute, fornendo loro allo stesso tempo l’accesso remoto ai dispositivi delle vittime.
Gli aggressori utilizzano falsi siti di phishing ClickFix che imitano fonti legittime, come Google Meet, aggiornamenti del browser e controlli dei documenti. Gli utenti che seguono le false istruzioni di correzione degli errori sullo schermo finiscono per eseguire comandi PowerShell dannosi, che avviano la sequenza di infezione senza che essi ne siano a conoscenza.
“Castle Loader è una nuova e attiva minaccia, rapidamente adottata da varie campagne maligne per distribuire un array di altri loader e stealers,” ha detto PRODAFT, come riportato da The Hacker News.
“Le sue sofisticate tecniche anti-analisi e il processo di infezione multi-stadio evidenziano la sua efficacia come meccanismo di distribuzione primario nel panorama delle minacce attuali”, hanno aggiunto i ricercatori.
CastleLoader si diffonde anche attraverso finti repository GitHub che sembrano ospitare strumenti fidati per gli sviluppatori. Queste pagine ingannevoli inducono gli utenti a installare malware, sfruttando la fiducia in piattaforme come GitHub.
Il malware utilizza anche falsi repository di GitHub, che fingono di ospitare strumenti per sviluppatori per diffondere la sua infezione. Gli utenti che visitano queste pagine ingannevoli finiscono per installare il malware perché si fidano della piattaforma GitHub.
I ricercatori identificano questo malware come parte di un’operazione MaaS più ampia. Il pannello di controllo C2 fornisce agli hacker capacità in tempo reale per gestire i sistemi infetti, eseguire attacchi e modificare le loro campagne.
“Questa tecnica sfrutta la fiducia degli sviluppatori in GitHub e la loro tendenza ad eseguire comandi di installazione da repository che sembrano affidabili”, ha notato PRODAFT.
Con un tasso di infezione di quasi il 29%, gli esperti avvertono gli utenti di evitare siti di aggiornamento sconosciuti e di controllare attentamente tutte le fonti di software.
Storia precedente
Ultimi articoli 
