Image by Xavier Cee, from Unsplash
CastleLoader Malware Kampanyası ABD Hükümeti ve Geliştiricileri Vuruyor
Okuma süresi: 2 dk.
Son Güncellenen Jul 29, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
CastleLoader adı verilen yeni ve tehlikeli bir zararlı yazılım, sahte web siteleri ve GitHub depoları aracılığıyla kullanıcıları enfekte ediyor.
Acelesi olanlar için hızlı bilgiler:
- CastleLoader zararlı yazılımı, ABD hükümet sistemlerinin de aralarında bulunduğu 469 cihaza bulaştı.
- Zararlı yazılım, sahte ClickFix güncellemeleri ve GitHub depoları üzerinden yayılıyor.
- GitHub aldatmacası, geliştiricileri zararlı dosyaları indirmeye kandırıyor.
2025 yılının başlarında keşfedilmesinden bu yana, CastleLoader dünya genelinde en az 469 cihaza bulaşmıştır, bunlar arasında ABD hükümet sistemleri de bulunmaktadır. Bu durum ilk olarak siber güvenlik firması PRODAFT tarafından rapor edilmiştir.
Araştırmacılar, CastleLoader’ın bir zararlı yazılım dağıtım platformu olarak işlev gördüğünü ve RedLine, StealC, DeerStealer, NetSupport RAT ve HijackLoader’ı yaydığını açıklıyorlar.
Bu kötü amaçlı programlar, saldırganların şifreleri, çerezleri ve kripto cüzdanları çalmalarını sağlarken, aynı zamanda onlara kurban cihazlarına uzaktan erişim imkanı sunuyor.
Saldırganlar, Google Meet, tarayıcı güncellemeleri ve belge kontrolleri gibi meşru kaynakları taklit eden sahte ClickFix phishing sitelerini kullanır. Kullanıcılar, ekrandaki sahte hata düzeltme talimatlarını takip ederler ve bilgileri dışında enfeksiyon dizisini başlatan zararlı PowerShell komutlarını çalıştırırlar.
“Castle Loader, yeni ve aktif bir tehdit olup, çeşitli zararlı kampanyalar tarafından hızla benimsenmiş ve diğer yükleyiciler ve hırsızlar konusunda bir dizi başka tehdidi yerine getirmekte,” dedi PRODAFT, The Hacker News tarafından rapor edildiği gibi.
“Gelişmiş anti-analiz teknikleri ve çok aşamalı enfeksiyon süreci, mevcut tehdit manzarasında birincil dağıtım mekanizması olarak etkinliğini vurgulamaktadır,” dedi araştırmacılar.
CastleLoader ayrıca sahte GitHub depoları aracılığıyla yayılır. Bu aldatıcı sayfalar, kullanıcıları GitHub gibi platformlara olan güveni istismar ederek kötü amaçlı yazılım yüklemeye yönlendirir.
Bu kötü amaçlı yazılım, enfeksiyonunu yaymak için geliştirici araçlarına ev sahipliği yaptığını iddia eden sahte GitHub depolarını da kullanır. Bu aldatıcı sayfaları ziyaret eden kullanıcılar, GitHub platformuna güvendikleri için kötü amaçlı yazılımı yüklerler.
Araştırmacılar, bu kötü amaçlı yazılımı daha geniş bir MaaS operasyonunun parçası olarak tanımlarlar. C2 kontrol paneli, hackerlara enfekte olmuş sistemleri yönetme, saldırıları gerçekleştirme ve kampanyalarını değiştirme konusunda gerçek zamanlı yetenekler sağlar.
“Bu teknik, geliştiricilerin GitHub’a olan güvenini ve görünüşte güvenilir olan depolardan kurulum komutlarını çalıştırma eğilimlerini sömürür,” diye belirtti PRODAFT.
Yaklaşık %29’luk bir enfeksiyon oranı ile uzmanlar, kullanıcıları tanımadıkları güncelleme sitelerinden kaçınmaları ve tüm yazılım kaynaklarını çift kontrol etmeleri konusunda uyarıyor.
Önceki Hikâye
Son makaleler 
