CastleLoader 맬웨어 캠페인, 미국 정부와 개발자들을 타격

새롭고 위험한 맬웨어인 CastleLoader가 가짜 웹사이트와 GitHub 저장소를 통해 사용자들을 감염시키고 있습니다.

2025년 초에 처음 발견된 이후로, CastleLoader는 전 세계에서 적어도 469개의 장치를 감염시켰으며, 이 중에는 미국 정부 시스템도 포함되어 있습니다. 이 사실은 사이버 보안 회사 PRODAFT가 처음 보도하였습니다.

연구자들은 CastleLoader가 악성 코드 배포 플랫폼으로 작동하며, 이를 통해 RedLine을 StealC, DeerStealer, NetSupport RAT, 그리고 HijackLoader와 함께 전파한다고 설명합니다.

이런 악성 프로그램들은 공격자들이 비밀번호, 쿠키, 암호화 지갑을 도용할 수 있게 해주며, 동시에 피해자의 디바이스에 원격으로 접근할 수 있는 기능을 제공합니다.

공격자들은 Google Meet, 브라우저 업데이트, 문서 검사와 같은 합법적인 출처를 모방하는 가짜 ClickFix 피싱 사이트를 사용합니다. 사용자들이 화면에 나타난 가짜 오류 수정 지시사항을 따르게 되면, 그들의 지식 없이 악성 PowerShell 명령을 실행하여 감염 과정이 시작됩니다.

“Castle Loader는 새로운 활성화된 위협으로, 다양한 악성 캠페인들이 다른 로더와 스틸러를 배포하기 위해 빠르게 채택하고 있습니다.”라고 PRODAFT는 The Hacker News에서 보도하였습니다.

“그것의 세련된 반분석 기술과 다단계 감염 과정은 현재의 위협 환경에서 주요 배포 메커니즘으로서의 효과성을 강조합니다,”라고 연구자들은 덧붙였습니다.

CastleLoader는 또한 신뢰받는 개발자 도구를 호스팅하는 것처럼 보이는 가짜 GitHub 리포지토리를 통해 확산됩니다. 이런 속임수 페이지들은 사용자들이 GitHub 같은 플랫폼에 대한 신뢰를 이용하여 악성 소프트웨어를 설치하도록 이끕니다.

이 악성 소프트웨어는 개발자 도구를 호스팅하는 척하는 가짜 GitHub 저장소를 이용해 감염을 퍼뜨립니다. 사용자들은 GitHub 플랫폼을 신뢰하기 때문에 이런 속임수에 당해 결국 악성 소프트웨어를 설치하게 됩니다.

연구자들은 이 악성 소프트웨어를 더 넓은 범위의 MaaS 작업의 일부로 파악했습니다. C2 컨트롤 패널은 해커들에게 실시간으로 감염된 시스템을 관리하고, 공격을 실행하며, 그들의 캠페인을 수정하는 기능을 제공합니다.

“이 기술은 개발자들이 GitHub에 대한 신뢰와, 명성 있는 저장소에서 설치 명령을 실행하는 경향을 이용하는 것입니다.”라고 PRODAFT는 지적했습니다.

감염률이 거의 29%에 이르러, 전문가들은 사용자들에게 익숙하지 않은 업데이트 사이트를 피하고 모든 소프트웨어 출처를 재확인하라고 경고하고 있습니다.