Castleloader

Recentemente, observou-se um aumento nas infecções por LummaStealer, um malware do tipo infostealer que opera como uma plataforma de malware-as-a-service (MaaS). Essa onda de infecções é impulsionada por campanhas de engenharia social que utilizam a técnica ClickFix para entregar o malware CastleLoader. O LummaStealer, que foi severamente interrompido em maio de 2025 após a apreensão de 2.300 domínios por autoridades, voltou a operar em julho do mesmo ano. O CastleLoader, que surgiu em 2025, é um loader de malware que distribui diversas famílias de infostealers e trojans de acesso remoto, utilizando um modelo de execução modular e ofuscação extensiva. Ele realiza verificações de ambiente para evitar detecções e garante persistência ao se instalar no sistema. As campanhas atuais de LummaStealer visam usuários em todo o mundo, utilizando métodos como instaladores de software trojanizados e arquivos de mídia falsos. A técnica ClickFix, que envolve a apresentação de páginas falsas de verificação, tem se mostrado um vetor de infecção eficaz. Para se proteger, especialistas recomendam evitar downloads de fontes não confiáveis e não executar comandos desconhecidos em PowerShell.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.