IBM X-Force untersucht ein neu aufgetauchtes Malware-Framework namens CastleBot. Es wird angenommen, dass die Malware Teil eines Malware-as-a-Service (MaaS)-Betriebs ist und speziell für eine flexible Malware-Bereitstellung konzipiert wurde. CastleBot wird derzeit von Cyberkriminellen genutzt, um alles Mögliche zu verbreiten, von Infostealern bis hin zu Hintertüren wie NetSupport und WarmCookie, die mit Ransomware-Angriffen in Verbindung gebracht werden.

Besonders besorgniserregend an CastleBot ist die Art seiner Verbreitung: meist über mit Trojanern infizierte Software-Installationsprogramme, die von gefälschten Webseiten heruntergeladen werden und ahnungslose Benutzer dazu verleiten, die Infektion selbst auszulösen. Diese Technik ist Teil eines wachsenden Trends, den X-Force beobachtet. Dies wird häufig durch SEO-Poisoning ermöglicht, was dazu führt, dass bösartige Seiten in Suchmaschinen einen höheren Rang einnehmen als legitime Softwarevertreiber. Sobald CastleBot im System ist, durchläuft er einen dreistufigen Prozess: einen Stager/Downloader, einen Loader und eine zentrale Backdoor, die eine Reihe von Aufgaben von ihrem Command-and-Control-Server (C2) anfordert. Die von der infizierten Maschine gesammelten Informationen ermöglichen es den Betreibern, Opfer leicht zu filtern, laufende Infektionen zu verwalten und Malware präzise auf hochwertige Ziele bereitzustellen.

CastleBot entwickelt sich immer noch weiter, und unsere Forschung zeigt, dass es wahrscheinlich gerade erst anfängt. In diesem Bericht erläutern wir, wie es funktioniert, wie es sich verbreitet und warum es wichtig ist.