برنامج QuirkyLoader الخبيث
اكتشف باحثو الأمن السيبراني أداة تحميل برامج ضارة جديدة تُعرف باسم QuirkyLoader، والتي تم استغلالها بشكل نشط في حملات البريد الإلكتروني العشوائي منذ نوفمبر 2024. يتمثل دورها الأساسي في توصيل مجموعة واسعة من الحمولات الضارة، بما في ذلك سارقي المعلومات وأحصنة طروادة للوصول عن بُعد (RATs).
جدول المحتويات
ترسانة متنامية من البرمجيات الخبيثة
تم ربط QuirkyLoader بتوزيع العديد من عائلات البرامج الضارة البارزة، بما في ذلك:
- العميل تيسلا
- غير متزامن
- كتاب النموذج
- مسجل ماسلوجر
- ريمكوس رات
- رادامانثيس ستيلر
- مسجل مفاتيح الثعبان
تسلط هذه المجموعة الواسعة من الأدوات الضوء على قدرة المحمل على التكيف وقدرة الجهة المهاجمة على إطلاق هجمات إلكترونية متنوعة.
التسليم الخادع من خلال رسائل البريد الإلكتروني العشوائية
يعتمد المهاجمون على كلٍّ من مزودي خدمات البريد الإلكتروني الشرعيين وخوادم البريد الإلكتروني ذاتية الاستضافة لإرسال رسائل البريد العشوائي الضارة. عادةً ما يحتوي كل بريد إلكتروني على ملف أرشيف يحتوي على ثلاثة مكونات أساسية:
- ملف DLL ضار
- حمولة مشفرة
- ملف قابل للتنفيذ شرعي
من خلال التحميل الجانبي لملفات DLL، يستغل المهاجمون حقيقة أن تشغيل الملف التنفيذي الشرعي يُفعّل أيضًا ملف DLL الخبيث. بعد ذلك، يقوم هذا الملف بفك تشفير الحمولة النهائية وحقنها في العملية المستهدفة.
استغلال عملية التجويف
تتضمن آلية الحقن تفريغ العملية، وهي تقنية يستبدل فيها البرنامج الخبيث شفرة عملية مشروعة بشفرته الخاصة. في حملات QuirkyLoader، تشمل عمليات الحقن المُفضّلة ما يلي:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
تتيح هذه الطريقة للبرامج الضارة التظاهر بأنها نشاط مشروع، مما يجعل الكشف عنها أكثر صعوبة.
هجمات مستهدفة في تايوان والمكسيك
حتى الآن، لوحظت QuirkyLoader في حملات أصغر وأكثر تركيزًا. وسُجِّلت موجتان ملحوظتان في يوليو 2025:
حملة تايوان : استهدفت تحديدًا موظفي شركة نوسوفت تايوان، وهي شركة متخصصة في الأمن السيبراني وأمن الشبكات. هدفت العملية إلى نشر برنامج Snake Keylogger، المصمم لاستخراج بيانات المتصفح وضغطات المفاتيح ومحتوى الحافظة.
حملة المكسيك : يبدو أنها أكثر عشوائية في طبيعتها، حيث تقوم بتوزيع Remcos RAT وAsyncRAT دون أنماط استهداف واضحة.
الخصائص التقنية للودر
يُطوّر مُهدّد البرمجيات الخبيثة باستمرار وحدة مُحمّل DLL باستخدام لغات .NET. لزيادة المرونة والتعتيم، يُجمّع المُحمّل باستخدام التجميع المُسبق (AOT)، مُنتجًا ملفات ثنائية تُشبه تلك المُنشأة بلغة C أو C++. هذا يُصعّب على المُدافعين تحليل البرمجيات الخبيثة واكتشافها.
الأفكار النهائية
يُعدّ QuirkyLoader مثالاً واضحاً على كيفية استمرار مجرمي الإنترنت في تحسين أساليبهم الهجومية لتحقيق أقصى قدر من التخفي والكفاءة. فمن خلال الجمع بين التحميل الجانبي لملفات DLL، وتفريغ العمليات، واستراتيجيات التصيد الاحتيالي المُستهدفة، لا يكتفي المهاجمون بتجاوز الدفاعات، بل يُصمّمون حملاتهم أيضاً لتحقيق أقصى قدر من التأثير. ينبغي على المؤسسات توخي الحذر من مرفقات البريد الإلكتروني المشبوهة، وتطبيق دفاعات أمنية متعددة الطبقات للحد من التعرض لهذه التهديدات.
