QuirkyLoaderi pahavara
Küberturvalisuse uurijad on avastanud uue pahavara laaduri nimega QuirkyLoader, mida on alates 2024. aasta novembrist rämpspostikampaaniates aktiivselt kasutatud. Selle peamine ülesanne on edastada laia valikut pahatahtlikke sisusid, sealhulgas teabevarastajaid ja kaugjuurdepääsuga troojalasi (RAT).
Sisukord
Kasvav pahavara arsenal
QuirkyLoaderit on seostatud mitmete kõrgetasemeliste pahavaraperekondade levitamisega, sealhulgas:
- Agent Tesla
- AsyncRAT
- Vormiraamat
- Masslogger
- Remcos RAT
- Rhadamanthyse varastaja
- Madu klahvilogija
See lai tööriistakomplekt toob esile laaduri kohanemisvõime ja ohu tekitaja võime käivitada mitmekesiseid küberrünnakuid.
Petlik kohaletoimetamine rämpsposti teel
Ründajad loodavad pahatahtliku rämpsposti edastamiseks nii legitiimsetele e-posti teenusepakkujatele kui ka ise hostitud e-posti serverile. Iga e-kiri sisaldab tavaliselt arhiivifaili, mis sisaldab kolme olulist komponenti:
- Pahatahtlik DLL
- Krüpteeritud kasulik koormus
- Legitiimne käivitatav fail
DLL-i külglaadimise kaudu kasutavad ründajad ära asjaolu, et legitiimse käivitatava faili käivitamine käivitab ka pahatahtliku DLL-i. Seejärel dekrüpteerib see DLL ja süstib lõpliku sisu sihtprotsessi.
Protsessi õõnestamise ärakasutamine
Süstimismehhanism hõlmab protsessi õõnestamist – tehnikat, kus pahavara asendab legitiimse protsessi koodi oma koodiga. QuirkyLoaderi kampaaniates on süstimiseks eelistatud protsesside hulgas:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
See meetod võimaldab pahavaral maskeeruda seaduslikuks tegevuseks, muutes tuvastamise palju keerulisemaks.
Sihipärased rünnakud Taiwanis ja Mehhikos
QuirkyLoaderit on seni täheldatud väiksemates, fokuseeritud kampaaniates. Kaks märkimisväärset lainet registreeriti 2025. aasta juulis:
Taiwani kampaania : sihtmärgiks oli spetsiaalselt küberturvalisuse ja võrguturbeettevõtte Nusoft Taiwan töötajad. Operatsiooni eesmärk oli juurutada Snake Keylogger, mis on loodud brauseriandmete, klahvivajutuste ja lõikelaua sisu väljafiltreerimiseks.
Mehhiko kampaania : Tundus olevat valimatuma iseloomuga, levitades Remcos RAT-i ja AsyncRAT-i ilma selgete sihtimismustriteta.
Laaduri tehnilised omadused
Ohu tekitaja arendab DLL-laaduri moodulit järjepidevalt .NET-keelte abil. Vastupidavuse ja hägustamise suurendamiseks kompileeritakse laadur enneaegselt kompileerimise (AOT) abil, mille tulemuseks on binaarfailid, mis sarnanevad C- või C++-keeles loodutega. See raskendab pahavara analüüsimist ja tuvastamist kaitsjatel.
Lõppmõtted
QuirkyLoader on selge näide sellest, kuidas küberkurjategijad jätkavad oma edastusmeetodite täiustamist, et maksimeerida varjatust ja tõhusust. DLL-i külglaadimise, protsesside õõnestamise ja sihipäraste andmepüügistrateegiate kombineerimise abil ründajad mitte ainult ei möödu kaitsemehhanismidest, vaid kohandavad ka oma kampaaniaid mõju maksimeerimiseks. Organisatsioonid peaksid olema valvsad kahtlaste e-posti manuste suhtes ja rakendama kihilisi turvameetmeid, et vähendada selliste ohtudega kokkupuudet.
