IBM X-Force ha estado investigando un nuevo marco de malware emergente llamado CastleBot. Se cree que el malware forma parte de una operación de malware como servicio (MaaS) y está diseñado específicamente para la implementación flexible de malware. Actualmente, los ciberdelincuentes utilizan CastleBot para distribuir todo tipo de programas, desde infostealers hasta puertas traseras como NetSupport y WarmCookie, que se han relacionado con ataques de ransomware.

Lo que hace que CastleBot sea especialmente preocupante es su forma de distribución: en la mayoría de los casos, a través de instaladores de software troyanizados descargados de sitios web falsos que atraen a usuarios desprevenidos para que ellos mismos lancen la infección. Esta técnica forma parte de una tendencia creciente que X-Force está observando. A menudo se activa a través del envenenamiento SEO, que hace que las páginas maliciosas se posicionen más alto en los motores de búsqueda que los distribuidores de software legítimos. Una vez dentro, CastleBot ejecuta un proceso de tres etapas: un organizador/descargador, un cargador y una puerta trasera central, que solicita un conjunto de tareas de su servidor de comando y control (C2). La información recopilada de la máquina infectada permite a los operadores filtrar fácilmente las víctimas, gestionar las infecciones en curso e implementar el malware en objetivos de alto valor con precisión.

CastleBot sigue evolucionando y nuestra investigación muestra que es probable que solo esté comenzando. En este informe, desglosamos cómo funciona, cómo se propaga y por qué es importante.