CastleLoader: Neue Malware nutzt GitHub-Tarnung und ClickFix-Betrug : Raffinierter Loader infiziert fast 500 Systeme mit Stealern und Remote-Trojanern
Die Schweizer Sicherheitsfirma PRODAFT hat eine neue, hochentwickelte Malware namens CastleLoader analysiert. Die Schadsoftware nutzt gefälschte GitHub-Repositories und sogenannte ClickFix-Phishingseiten, um verschiedene Stealer und Fernzugriffstrojaner zu verteilen – mit alarmierender Effizienz.
CastleLoader ist ein modularer Malware-Loader, der seit Anfang 2025 aktiv in verschiedenen Kampagnen eingesetzt wird. Ziel ist die Verbreitung bekannter Schadprogramme wie DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT und sogar anderer Loader wie Hijack Loader. Dabei fungiert CastleLoader nicht nur als Verteilmechanismus, sondern auch als Staging-Komponente: Zuerst sorgt er für die Infektion des Systems, danach lädt er weitere Schadprogramme nach. Diese Trennung zwischen Erstinfektion und Schadwirkung erschwert es Sicherheitsverantwortlichen, den Angriff richtig zuzuordnen und schnell darauf zu reagieren.
Techniken zur Tarnung und Analysevermeidung
CastleLoader verwendet eine Reihe ausgeklügelter Techniken, um einer Analyse durch Sicherheitsexperten oder Antivirenprogramme zu entgehen. Dazu gehört unter anderem die Dead-Code-Injektion: Hierbei wird absichtlich nutzloser oder irreführender Programmcode eingebaut, der keinen funktionalen Zweck erfüllt, aber die Analyse verlangsamt und verschleiert, welche Teile der Malware tatsächlich schädlich sind.
Zudem setzt CastleLoader auf Laufzeitverschleierung (englisch: Runtime Packing). Dabei wird der Schadcode zunächst verschlüsselt oder komprimiert gespeichert und erst zur Laufzeit – also beim Ausführen auf dem Zielsystem – entpackt. Das erschwert die Arbeit von Virenscannern, die meist nur statischen Code analysieren, und macht es auch für Analysten schwieriger, den tatsächlichen Programmablauf nachzuvollziehen.
Ein weiteres Merkmal ist das Anti-Sandboxing-Verhalten. Dabei prüft die Malware beim Start, ob sie in einer Sandbox-Umgebung läuft – also in einem geschützten Bereich, der speziell für die Analyse von Schadsoftware eingerichtet wurde. Erkennt CastleLoader eine solche Umgebung, beendet er sich selbst oder verhält sich unauffällig, um einer Entdeckung zu entgehen. Diese Technik wird von vielen modernen Schadprogrammen genutzt, um das Verhalten in echten Umgebungen zu tarnen und Analyseversuche zu sabotieren.
Nach dem Entpacken verbindet sich der Loader mit einem Befehls- und Kontrollserver (Command-and-Control, C2), um modulare Schadsoftware nachzuladen und auszuführen. Die initialen Payloads bestehen aus portablen Executables mit eingebetteter Shellcode, der die Hauptkomponenten des Loaders aktiviert.
Infektionsweg: PowerShell und soziale Manipulation
Ein zentrales Element der Infektionskette ist die sogenannte ClickFix-Masche. Dabei werden Nutzer über gefälschte Webseiten getäuscht, die angeblich Fehler oder CAPTCHA-Probleme anzeigen. Die Seiten imitieren vertrauenswürdige Plattformen wie Softwarebibliotheken, Videokonferenzdienste oder Browser-Updates. Die Opfer werden dazu gebracht, PowerShell-Befehle auszuführen – der Startschuss für die Malware-Infektion.
Ein besonders hinterhältiger Teil der Angriffskampagne ist die gezielte Ausnutzung von GitHub – einer beliebten Plattform für die gemeinsame Entwicklung und Bereitstellung von Open-Source-Software. Die Angreifer legen dort täuschend echt aussehende Repositorien an, also Projekte, die auf den ersten Blick wie seriöse Software aussehen. Sie verwenden Namen, Logos und Beschreibungen, die bekannten und vertrauenswürdigen Anwendungen stark ähneln – zum Beispiel bekannten Entwickler-Tools oder Systemwerkzeugen.
Sobald ein Entwickler oder Administrator auf eines dieser gefälschten Projekte stößt – etwa über eine Google-Suche oder über weitergeleitete Links – wird ihm in der Projektbeschreibung ein scheinbar harmloser Installationsbefehl angezeigt, häufig ein einziger Befehl, der in der Kommandozeile ausgeführt werden soll. Viele Nutzer, die GitHub gewohnt sind und der Plattform grundsätzlich vertrauen, führen solche Befehle ohne große Prüfung aus – und genau das machen sich die Angreifer zunutze.
Der harmlose aussehende Befehl lädt in Wirklichkeit die Malware CastleLoader herunter und startet die Infektion. Besonders gefährlich ist dieser Angriff deshalb, weil er gezielt Fachpersonal trifft: Entwickler, Systemadministratoren und technisch versierte Anwender. Diese Zielgruppe arbeitet häufig mit Open-Source-Tools, nutzt GitHub regelmäßig und verlässt sich auf die dort veröffentlichte Software – ein Vertrauen, das die Angreifer hier systematisch missbrauchen.
Teil eines größeren Cybercrime-Ökosystems
Die Analyse von PRODAFT legt nahe, dass CastleLoader in Kampagnen verwendet wird, die von verschiedenen Bedrohungsakteuren betrieben werden – teils unabhängig, teils überlappend. Seit Mai 2025 konnten sieben unterschiedliche C2-Server identifiziert werden. Dabei wurden insgesamt 1.634 Infektionsversuche registriert. 469 Geräte wurden erfolgreich kompromittiert – eine Infektionsrate von 28,7 Prozent.
CastleLoader wird dabei nicht nur als Verteiler, sondern auch als Plattform für andere Schadprogramme wie Hijack Loader oder weiterentwickelte Versionen von DeerStealer genutzt. Diese Struktur ähnelt der Arbeitweise von Initial Access Brokern (IABs), die Zugänge in Unternehmensnetze beschaffen und weiterverkaufen.
Komplex, anpassbar und gefährlich
Die technische Raffinesse von CastleLoader zeigt sich in seiner Fähigkeit zur modularen Nachlade-Architektur, zur Umgehung gängiger Sicherheitsmechanismen und zur Integration in Malware-as-a-Service-Strukturen. Die C2-Panels, mit denen Angreifer ihre Kampagnen zentral steuern, deuten auf erfahrene Betreiber hin, die über eine ausgebaute Infrastruktur im Cyberuntergrund verfügen.
Fazit
CastleLoader steht exemplarisch für eine neue Generation von Malware-Loadern, die auf Tarnung, Modularität und maximale Flexibilität setzen. Die Kombination aus GitHub-Missbrauch, PowerShell-Manipulation, Anti-Analyse-Techniken und gezielter Nutzer-Täuschung macht diese Malware zu einer ernstzunehmenden Bedrohung – nicht nur für Einzelpersonen, sondern auch für Unternehmen und Organisationen weltweit.