QuirkyLoader-malware
Cybersikkerhedsforskere har afdækket en ny malware-loader kendt som QuirkyLoader, som aktivt har været udnyttet i spam-e-mailkampagner siden november 2024. Dens primære rolle er at levere en bred vifte af ondsindede nyttelaster, herunder informationstyve og fjernadgangstrojanere (RAT'er).
Indholdsfortegnelse
Et voksende arsenal af malware
QuirkyLoader er blevet forbundet med distributionen af flere kendte malwarefamilier, herunder:
- Agent Tesla
- AsyncRAT
- Formularbog
- Masselogger
- Remcos RAT
- Rhadamanthys Stealer
- Snake Keylogger
Dette brede værktøjssæt fremhæver loaderens tilpasningsevne og trusselsaktørens evne til at iværksætte forskellige cyberangreb.
Vildledende levering via spam-e-mails
Angribere er afhængige af både legitime e-mailudbydere og en selvhostet e-mailserver for at levere ondsindet spam. Hver e-mail indeholder typisk en arkivfil, der indeholder tre kritiske komponenter:
- En ondsindet DLL
- En krypteret nyttelast
- En legitim eksekverbar
Ved at sideloade DLL'en udnytter angriberne, at kørsel af den legitime eksekverbare fil også udløser den skadelige DLL. Denne DLL dekrypterer og injicerer derefter den endelige nyttelast i dens målproces.
Udnyttelse af procesudhulning
Injektionsmekanismen involverer procesudhulning, en teknik hvor malware erstatter koden fra en legitim proces med sin egen. I QuirkyLoaders kampagner inkluderer de foretrukne processer til injektion:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Denne metode gør det muligt for malwaren at udgive sig for at være legitim aktivitet, hvilket gør detektion langt mere udfordrende.
Målrettede angreb i Taiwan og Mexico
QuirkyLoader er indtil videre blevet observeret i mindre, fokuserede kampagner. To bemærkelsesværdige bølger blev registreret i juli 2025:
Taiwan-kampagne : Specifikt rettet mod medarbejdere hos Nusoft Taiwan, et cybersikkerheds- og netværkssikkerhedsfirma. Operationen havde til formål at implementere Snake Keylogger, der er designet til at stjæle browserdata, tastetryk og indhold fra udklipsholderen.
Mexico-kampagnen : Virkede at være mere vilkårlig af natur og distribuerede Remcos RAT og AsyncRAT uden klare målretningsmønstre.
Læsseren tekniske egenskaber
Trusselsaktøren udvikler konsekvent DLL-loadermodulet ved hjælp af .NET-sprog. For at øge modstandsdygtighed og obfuskation kompileres loaderen ved hjælp af ahead-of-time (AOT) kompilering, hvilket producerer binære filer, der ligner dem, der er oprettet i C eller C++. Dette gør malwaren vanskeligere for forsvarere at analysere og opdage.
Afsluttende tanker
QuirkyLoader er et tydeligt eksempel på, hvordan cyberkriminelle fortsætter med at forfine deres leveringsmetoder for at maksimere stealth og effektivitet. Ved at kombinere DLL-sideloading, process hollowing og målrettede phishing-strategier omgår angribere ikke kun forsvar, men skræddersyr også deres kampagner for at maksimere effekten. Organisationer bør forblive årvågne over for mistænkelige e-mailvedhæftninger og implementere lagdelte sikkerhedsforsvar for at reducere eksponeringen for sådanne trusler.
