Programari maliciós QuirkyLoader
Investigadors de ciberseguretat han descobert un nou carregador de programari maliciós conegut com a QuirkyLoader, que s'ha utilitzat activament en campanyes de correu brossa des del novembre del 2024. La seva funció principal és oferir una àmplia gamma de càrregues útils malicioses, inclosos lladres d'informació i troians d'accés remot (RAT).
Taula de continguts
Un arsenal creixent de programari maliciós
QuirkyLoader s'ha vinculat a la distribució de diverses famílies de programari maliciós d'alt perfil, com ara:
- Agent Tesla
- AsíncronRAT
- Llibre de formularis
- Registrador de masses
- Remcos RAT
- Radamantis lladre
- Registrador de claus de serp
Aquest ampli conjunt d'eines destaca l'adaptabilitat del carregador i la capacitat de l'actor amenaçador per llançar diversos ciberatacs.
Lliurament enganyós a través de correus electrònics brossa
Els atacants confien tant en proveïdors de serveis de correu electrònic legítims com en un servidor de correu electrònic autoallotjat per enviar correu brossa maliciós. Cada correu electrònic normalment conté un fitxer d'arxiu que conté tres components crítics:
- Una DLL maliciosa
- Una càrrega útil xifrada
- Un executable legítim
Mitjançant la càrrega lateral de DLL, els atacants exploten el fet que l'execució de l'executable legítim també activa la DLL maliciosa. Aquesta DLL desxifra i injecta la càrrega útil final al seu procés objectiu.
Explotació del procés de buidament
El mecanisme d'injecció implica el buidatge de processos, una tècnica en què el programari maliciós substitueix el codi d'un procés legítim pel seu propi. A les campanyes de QuirkyLoader, els processos preferits per a la injecció inclouen:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Aquest mètode permet que el programari maliciós es faci passar per una activitat legítima, cosa que dificulta molt la detecció.
Atacs dirigits a Taiwan i Mèxic
Fins ara, QuirkyLoader s'ha observat en campanyes més petites i específiques. Es van registrar dues onades notables el juliol de 2025:
Campanya de Taiwan : dirigida específicament als empleats de Nusoft Taiwan, una empresa de ciberseguretat i seguretat de xarxa. L'operació tenia com a objectiu implementar Snake Keylogger, dissenyat per exfiltrar dades del navegador, pulsacions de tecles i contingut del porta-retalls.
Campanya de Mèxic : Semblava ser de naturalesa més indiscriminada, distribuint Remcos RAT i AsyncRAT sense patrons de segmentació clars.
Característiques tècniques del carregador
L'actor d'amenaces desenvolupa constantment el mòdul del carregador de DLL utilitzant llenguatges .NET. Per augmentar la resiliència i l'ofuscació, el carregador es compila mitjançant la compilació anticipada (AOT), produint binaris que s'assemblen als creats en C o C++. Això fa que el programari maliciós sigui més difícil d'analitzar i detectar per als defensors.
Reflexions finals
QuirkyLoader és un clar exemple de com els ciberdelinqüents continuen refinant els seus mètodes de lliurament per maximitzar la furtivitat i l'eficiència. Combinant la càrrega lateral de DLL, el buidatge de processos i estratègies de phishing dirigides, els atacants no només eludeixen les defenses, sinó que també adapten les seves campanyes per maximitzar l'impacte. Les organitzacions han de mantenir-se vigilants contra els fitxers adjunts de correu electrònic sospitosos i implementar defenses de seguretat per capes per reduir l'exposició a aquestes amenaces.
