IBM X-Force a enquêté sur un nouveau framework de malware nommé CastleBot. Le logiciel malveillant est soupçonné de faire partie d’une opération de MaaS (malware-as-a-service) et est spécifiquement conçu pour un déploiement flexible des logiciels malveillants. CastleBot est actuellement utilisé par des cybercriminels pour tout diffuser, des infostealers aux portes dérobées comme NetSupport et WarmCookie, qui ont été liés à des attaques de ransomware.

Ce qui rend CastleBot particulièrement inquiétant, c’est la façon dont il est distribué : le plus souvent via des installateurs de logiciels trojanisés téléchargés depuis de faux sites, incitant des utilisateurs sans méfiance à lancer eux-mêmes l’infection. Cette technique s’inscrit dans la tendance croissante observée par X-Force. Elle est souvent rendue possible par le biais de techniques de référencement abusives (SEO poisoning), qui permettent à des pages malveillantes de se classer plus haut dans les moteurs de recherche que les distributeurs de logiciels légitimes. Une fois à l’intérieur, CastleBot suit un processus en trois étapes : un stager/téléchargeur, un chargeur et une porte dérobée principale, qui demande un ensemble de tâches à son serveur de commande et de contrôle (C2). Les informations recueillies sur la machine infectée permettent aux opérateurs de filtrer facilement les victimes, de gérer les infections en cours et de déployer avec précision des logiciels malveillants sur des cibles de grande valeur.

CastleBot continue d’évoluer, et nos recherches montrent qu’il ne fait probablement que commencer. Dans ce rapport, nous détaillons comment il fonctionne, se propage et pourquoi cela est important.