🧨 CastleLoader ম্যালওয়্যার বিশ্লেষণ: ডেভেলপারদের ভরসা GitHub এখন হ্যাকারদের জাল!
Bug Mohol Cyber Desk | তারিখ: ২৮শে জুলাই ২০২৫
✍️ ভূমিকা: এক নতুন ম্যালওয়্যারের আগমন
২০২৫ সালের মাঝামাঝি, সাইবার জগতে এক নতুন নাম চমক সৃষ্টি করে — CastleLoader। এটি শুধুই একটি সাধারণ ম্যালওয়্যার না, বরং এটি একটি “স্টেজার লোডার”, যার কাজ হচ্ছে বড় ধরনের সাইবার হামলার প্রাথমিক ভিত্তি তৈরি করা। এই ম্যালওয়্যার ব্যবহার করে হ্যাকাররা একাধিক ইনফোস্টিলার, RAT (Remote Access Trojan), এবং অন্যান্য লোডার ইনস্টল করছে লক্ষ্যমাত্রায় থাকা ডিভাইসগুলোতে।
CastleLoader প্রথম আলোচনায় আসে তখন, যখন সুইস সাইবারসিকিউরিটি প্রতিষ্ঠান PRODAFT তাদের বিশ্লেষণে জানায়, এই ম্যালওয়্যারের মাধ্যমে ইতোমধ্যেই ৪৬৯টি ডিভাইস আক্রান্ত হয়েছে।
🎯 CastleLoader-এর মূল টার্গেট কারা?
- ডেভেলপাররা, যারা GitHub থেকে কোড রান করে অভ্যস্ত।
- IT কর্মী ও সাইবার নিরাপত্তায় অভিজ্ঞ না এমন ইউজার, যারা গুগল করে সফটওয়্যার খুঁজে ইনস্টল করে।
- সাধারণ ইউজার, যারা CAPTCHA বা Error fixing-এর নামে PowerShell কমান্ড কপি করে চালায়।
🧰 ম্যালওয়্যারের কারিগরি গঠন (Technical Architecture)
🔧 ১. স্টেজড ইনফেকশন মেকানিজম
CastleLoader কে বলা হয় “modular malware loader”। এটি সাধারণত দুই বা ততোধিক ধাপে কাজ করে:
- প্রথম ধাপে: PowerShell বা ইনফেক্টেড
.exeফাইল দিয়ে ইউজারের ডিভাইসে foothold নেয়। - দ্বিতীয় ধাপে: C2 (Command & Control) সার্ভারে সংযোগ স্থাপন করে, পরবর্তী malware মডিউলগুলি ডাউনলোড করে রান করায়।
🔍 ২. এনালাইসিস প্রতিরোধে ব্যবহার করা কৌশল
CastleLoader কোড বিশ্লেষণ কঠিন করার জন্য ব্যবহার করে:
- Dead code injection
- Custom packers
- Anti-sandboxing
- Runtime unpacking
এই টেকনিকগুলো মূলত Reverse Engineering বা AV detection থেকে বাঁচার জন্য ব্যবহৃত হয়।
🎣 ClickFix ফিশিং কৌশল: Cloudflare-এর নামে বোকা বানানো
CastleLoader যে কৌশলটি সবচেয়ে বেশি ব্যবহার করছে, তা হলো ClickFix phishing। এখানে হ্যাকাররা Cloudflare-এর মত পরিচিত ব্র্যান্ডের নাম ব্যবহার করে ভুয়া ওয়েবসাইট বানায়।
চিত্রনাট্য সাধারণত এমন হয়:
“Your connection is interrupted. Please run the following PowerShell command to fix the error.”
ইউজার ভয় পেয়ে command কপি করে চালায়। আর তখনই CastleLoader ইনফেকশন শুরু হয়।
🧪 ভুয়া GitHub Repo: বিশ্বাসের নামে বিশ্বাসঘাতকতা
হ্যাকাররা GitHub-এ ভুয়া রেপোজিটরি খুলে legitimate সফটওয়্যারের মতো সাজিয়ে দেয়। ইউজাররা যখন:
git clone https://github.com/fake-project/toolরান করে, তখন তারা নিজের অজান্তেই CastleLoader নামিয়ে ফেলছে।
PRODAFT জানায়:
“এই টেকনিক GitHub-এর প্রতি ডেভেলপারদের আস্থা ব্যবহার করে ইউজারদের বোকা বানানোর একটি কৌশলী দিক।”
🔁 CastleLoader-এর সাথে সম্পর্কিত অন্যান্য ম্যালওয়্যার
CastleLoader ব্যবহার করে ছড়ানো হয়েছে বিভিন্ন ধরনের Stealer এবং RAT:
- DeerStealer
- RedLine Stealer
- StealC
- NetSupport RAT
- SectopRAT
- Hijack Loader
PRODAFT এর মতে, একই ক্যাম্পেইনে একাধিক loader ও stealer একসাথে ব্যবহার করা হয়েছে — যা Initial Access Brokers (IABs)-দের taktik-এর মতো মনে হয়।
📈 সংক্ষিপ্ত পরিসংখ্যান: CastleLoader ক্যাম্পেইন ২০২৫
| বিষয় | পরিমাণ |
|---|---|
| সময়কাল | মে ২০২৫ থেকে শুরু |
| মোট ইনফেকশন অ্যাটেম্পট | ১,৬৩৪টি |
| সফল ইনফেকশন | ৪৬৯টি |
| ইনফেকশন রেট | ২৮.৭% |
| ব্যবহৃত C2 সার্ভার | ৭টি ভিন্ন ভিন্ন ডোমেইন |
| ম্যালওয়্যার ধরণ | Loader, Stealer, RAT |
🛠️ CastleLoader কেন এত বিপজ্জনক?
- Multi-stage infection: যেকোনো ম্যালওয়্যার ইন্সটল করতে পারে।
- GitHub abuse: ট্রাস্টেড সোর্স হয়ে উঠেছে ফাঁদ।
- PowerShell exploitation: ইউজার নিজেই command চালিয়ে ইনফেক্টেড হচ্ছে।
- Malware-as-a-Service (MaaS): পেছনে পেশাদার অপরাধী অবকাঠামো।
🛡️ প্রতিকার ও প্রতিরোধ কৌশল
- GitHub থেকে ইনস্টল করার আগে রেপো যাচাই করুন।
- PowerShell কমান্ড না বুঝে রান করবেন না।
- ভুয়া CAPTCHA বা Error পেজে ভয় পাবেন না।
- Antivirus ও EDR সফটওয়্যার আপডেট রাখুন।
- কোড ইনস্টল করার আগে Google বা GitHub ইস্যু চেক করুন।
🔚 উপসংহার
CastleLoader ম্যালওয়্যার আমাদের শেখায়, হ্যাকাররা শুধু প্রযুক্তিতে নয়, মানুষের মনস্তত্ত্ব বুঝেও আক্রমণ করে। GitHub-এর মতো জনপ্রিয় এবং ট্রাস্টেড সোর্সে আস্থা রাখা এখন বিপজ্জনক হতে পারে।
CastleLoader এখনো সক্রিয় এবং প্রতিনিয়ত নতুন কৌশল দিয়ে নিজেকে উন্নত করছে। আজ GitHub, কাল হয়তো PyPI, এরপর VSCode Extension? কে জানে! সচেতন থাকুন, সাইবার সুরক্ষিত থাকুন।
🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।
🔗 Bug Mohol Telegram চ্যানেলে যোগ দিন
Source:
The Hacker News
