Malware QuirkyLoader
Výzkumníci v oblasti kybernetické bezpečnosti objevili nový zavaděč malwaru známý jako QuirkyLoader, který je aktivně využíván v e-mailových kampaních se spamem od listopadu 2024. Jeho primární úlohou je doručovat širokou škálu škodlivých dat, včetně programů pro krádeže informací a trojských koní pro vzdálený přístup (RAT).
Obsah
Rostoucí arzenál malwaru
QuirkyLoader byl spojován s distribucí několika významných rodin malwaru, včetně:
- Agent Tesla
- AsyncRAT
- Formulář
- Hromadný záznamník
- Remcos RAT
- Zloděj Rhadamanthys
- Hadí keylogger
Tato široká sada nástrojů zdůrazňuje přizpůsobivost zavaděče a schopnost útočníka spouštět rozmanité kybernetické útoky.
Klamavé doručování spamových e-mailů
Útočníci se při doručování škodlivého spamu spoléhají jak na legitimní poskytovatele e-mailových služeb, tak na samostatně hostovaný e-mailový server. Každý e-mail obvykle obsahuje archivní soubor obsahující tři klíčové komponenty:
- Škodlivá knihovna DLL
- Šifrované datové zatížení
- Legitimní spustitelný soubor
Prostřednictvím bočního načítání DLL útočníci zneužívají skutečnost, že spuštění legitimního spustitelného souboru spouští také škodlivou DLL. Tato DLL poté dešifruje a vloží finální datovou část do cílového procesu.
Využití vyprázdnění procesů
Mechanismus vkládání malwaru zahrnuje tzv. „process hollowing“, což je technika, při které malware nahrazuje kód legitimního procesu svým vlastním. V kampaních QuirkyLoaderu patří mezi preferované procesy vkládání malwaru:
- Soubor AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Tato metoda umožňuje malwaru maskovat se jako legitimní aktivita, což jeho detekci výrazně ztěžuje.
Cílené útoky na Tchaj-wanu a v Mexiku
QuirkyLoader byl dosud pozorován v menších, cílených kampaních. V červenci 2025 byly zaznamenány dvě významné vlny:
Kampaň na Tchaj-wanu : Cílem operace bylo nasadit keylogger Snake, určený k odhalování dat z prohlížeče, stisků kláves a obsahu schránky.
Kampaň v Mexiku : Zdálo se, že je nerozlišující a distribuuje Remcos RAT a AsyncRAT bez jasných cílových vzorců.
Technické vlastnosti nakladače
Útočník důsledně vyvíjí modul zavaděče DLL pomocí jazyků .NET. Pro zvýšení odolnosti a zamezení zmatení je zavaděč kompilován pomocí kompilace ahead-of-time (AOT), čímž vznikají binární soubory podobné těm vytvořeným v jazyce C nebo C++. To obráncům ztěžuje analýzu a detekci malwaru.
Závěrečné myšlenky
QuirkyLoader je jasným příkladem toho, jak kyberzločinci neustále zdokonalují své metody doručování e-mailů, aby maximalizovali jejich nenápadnost a efektivitu. Kombinací sideloadingu DLL, process hollowingu a cílených phishingových strategií útočníci nejen obcházejí obranu, ale také přizpůsobují své kampaně tak, aby maximalizovaly dopad. Organizace by měly zůstat ostražité vůči podezřelým e-mailovým přílohám a implementovat vícevrstvé bezpečnostní obranné mechanismy, aby se snížila jejich expozice vůči těmto hrozbám.
