Campanha de Malware CastleLoader atinge Governo dos EUA e Desenvolvedores

Image by Xavier Cee, from Unsplash

Campanha de Malware CastleLoader atinge Governo dos EUA e Desenvolvedores

Tempo de leitura: 3 minuto

Última atualização: Jul 29, 2025

Um novo e perigoso malware chamado CastleLoader está infectando usuários através de sites falsos e repositórios GitHub.

Está com pressa? Aqui estão os fatos rápidos:

  • O malware CastleLoader infectou 469 dispositivos, incluindo sistemas do governo dos EUA.
  • O malware se espalha através de atualizações falsas do ClickFix e repositórios do GitHub.
  • A decepção do GitHub engana desenvolvedores a baixarem arquivos maliciosos.

Desde a sua descoberta em 2025, o CastleLoader já infectou pelo menos 469 dispositivos ao redor do mundo, incluindo sistemas do governo dos EUA, conforme primeiramente relatado pela empresa de segurança cibernética PRODAFT.

Pesquisadores explicam que o CastleLoader funciona como uma plataforma de distribuição de malware, que espalha o RedLine juntamente com o StealC, DeerStealer, NetSupport RAT e HijackLoader.

Os programas maliciosos permitem que os atacantes roubem senhas, cookies e carteiras de criptomoedas, além de fornecerem a eles acesso remoto aos dispositivos das vítimas.

Os invasores usam sites falsos de phishing ClickFix que imitam fontes legítimas, como o Google Meet, atualizações de navegador e verificações de documentos. Os usuários que seguem as instruções falsas de correção de erros na tela acabam executando comandos maliciosos do PowerShell, que iniciam a sequência de infecção sem o seu conhecimento.

“Castle Loader é uma nova e ativa ameaça, rapidamente adotada por várias campanhas maliciosas para implantar uma série de outros carregadores e ladrões”, disse PRODAFT, conforme relatado pelo The Hacker News.

“Suas sofisticadas técnicas anti-análise e processo de infecção em várias etapas destacam sua eficácia como um mecanismo de distribuição primário na atual paisagem de ameaças”, acrescentaram os pesquisadores.

O CastleLoader também se propaga através de falsos repositórios GitHub que parecem hospedar ferramentas confiáveis de desenvolvedores. Essas páginas enganosas levam os usuários a instalar malwares, explorando a confiança em plataformas como o GitHub.

O malware também utiliza repositórios falsos do GitHub, que fingem hospedar ferramentas de desenvolvimento para espalhar sua infecção. Os usuários que visitam essas páginas enganosas acabam instalando o malware porque confiam na plataforma GitHub.

Os pesquisadores identificam esse malware como parte de uma operação MaaS mais ampla. O painel de controle C2 fornece aos hackers capacidades em tempo real para gerenciar sistemas infectados, executar ataques e modificar suas campanhas.

“Essa técnica explora a confiança dos desenvolvedores no GitHub e a tendência deles em executar comandos de instalação de repositórios que parecem conceituados”, observou a PRODAFT.

Com uma taxa de infecção de quase 29%, os especialistas alertam os usuários a evitar sites de atualização desconhecidos e a verificar duas vezes todas as fontes de software.

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback