IBM X-Force telah menyelidiki kerangka kerja malware yang baru muncul bernama CastleBot. Malware ini diyakini sebagai bagian dari operasi Malware-as-a-Service (MaaS) dan dirancang khusus untuk penerapan malware yang fleksibel. CastleBot saat ini digunakan oleh penjahat siber untuk mengirimkan segala sesuatu mulai dari infostealers hingga backdoor seperti NetSupport dan WarmCookie, yang telah dikaitkan dengan serangan ransomware.

Hal yang membuat CastleBot sangat mengkhawatirkan adalah distribusinya: paling sering melalui penginstal perangkat lunak trojan yang diunduh dari situs web palsu, memikat pengguna yang tidak curiga untuk meluncurkan infeksi itu sendiri. Teknik ini adalah bagian dari tren yang sedang berkembang yang diamati X-Force. Hal ini sering diaktifkan melalui keracunan SEO, yang menyebabkan halaman berbahaya mendapat peringkat lebih tinggi di mesin pencari daripada distributor perangkat lunak yang sah. Setelah masuk, CastleBot berjalan melalui proses tiga tahap: stager/downloader, loader, dan backdoor inti, yang meminta serangkaian tugas dari server perintah dan kontrol (C2). Informasi yang dikumpulkan dari mesin yang terinfeksi memungkinkan operator untuk dengan mudah menyaring korban, mengelola infeksi yang sedang berlangsung, dan menerapkan malware ke target bernilai tinggi dengan presisi.

CastleBot masih berkembang, dan riset kami menunjukkan kemungkinan baru saja dimulai. Dalam laporan ini, kami menguraikan cara kerjanya, bagaimana penyebarannya, dan mengapa itu penting.