Зловреден софтуер QuirkyLoader
Изследователи по киберсигурност откриха нов зареждащ софтуер за зловреден софтуер, известен като QuirkyLoader, който активно се използва в спам имейл кампании от ноември 2024 г. Основната му роля е да доставя широк спектър от злонамерени полезни товари, включително крадци на информация и троянски коне за отдалечен достъп (RAT).
Съдържание
Нарастващ арсенал от зловреден софтуер
QuirkyLoader е свързан с разпространението на няколко известни семейства зловреден софтуер, включително:
- Агент Тесла
- AsyncRAT
- Книга с формуляри
- Маслогер
- Ремкос РАТ
- Крадецът на Радамантис
- Змийски кейлогър
Този широк набор от инструменти подчертава адаптивността на зареждащия механизъм и способността на злонамерения участник да стартира разнообразни кибератаки.
Подвеждаща доставка чрез спам имейли
Нападателите разчитат както на легитимни доставчици на имейл услуги, така и на самостоятелно хостван имейл сървър, за да доставят злонамерен спам. Всеки имейл обикновено съдържа архивен файл, съдържащ три критични компонента:
- Злонамерен DLL файл
- Криптиран полезен товар
- Легитимен изпълним файл
Чрез странично зареждане на DLL файлове, нападателите използват факта, че стартирането на легитимен изпълним файл също задейства злонамерения DLL файл. След това този DLL файл декриптира и инжектира крайния полезен файл в целевия процес.
Експлоатиране на изпразването на процесите
Механизмът за инжектиране включва „издълбаване на процеси“ – техника, при която злонамереният софтуер замества кода на легитимен процес със свой собствен. В кампаниите на QuirkyLoader предпочитаните процеси за инжектиране включват:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Този метод позволява на зловредния софтуер да се маскира като легитимна дейност, което прави откриването му много по-трудно.
Целенасочени атаки в Тайван и Мексико
Досега QuirkyLoader е наблюдаван в по-малки, целенасочени кампании. През юли 2025 г. бяха регистрирани две забележителни вълни:
Тайванска кампания : Специално насочена към служители на Nusoft Taiwan, компания за киберсигурност и мрежова сигурност. Операцията имаше за цел да внедри Snake Keylogger, предназначен да извлича данни от браузъра, натискания на клавиши и съдържанието на клипборда.
Кампанията в Мексико : Изглеждаше по-безразборна по природа, разпространявайки Remcos RAT и AsyncRAT без ясни модели на насочване.
Технически характеристики на товарача
Злоумишленикът постоянно разработва модула за зареждане на DLL файлове, използвайки езици за .NET. За да се увеличи устойчивостта и обфускацията, зареждащият файл се компилира с помощта на компилация ahead-of-time (AOT), създавайки двоични файлове, наподобяващи тези, създадени на C или C++. Това прави зловредния софтуер по-труден за анализ и откриване от защитниците.
Заключителни мисли
QuirkyLoader е ясен пример за това как киберпрестъпниците продължават да усъвършенстват методите си за доставка, за да увеличат максимално скритността и ефективността. Чрез комбиниране на странично зареждане на DLL, изтичане на процеси и целенасочени фишинг стратегии, нападателите не само заобикалят защитите, но и приспособяват кампаниите си, за да увеличат максимално въздействието. Организациите трябва да останат бдителни срещу подозрителни прикачени файлове към имейли и да внедрят многопластови защити, за да намалят излагането на такива заплахи.
