قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار QuirkyLoader

بدافزار QuirkyLoader

تا Mezo در بدافزار
ترجمه به:

محققان امنیت سایبری یک بدافزار جدید به نام QuirkyLoader را کشف کرده‌اند که از نوامبر ۲۰۲۴ به طور فعال در کمپین‌های ایمیل‌های اسپم مورد استفاده قرار گرفته است. نقش اصلی آن ارائه طیف گسترده‌ای از بدافزارها، از جمله سارقان اطلاعات و تروجان‌های دسترسی از راه دور (RAT) است.

زرادخانه‌ای رو به رشد از بدافزارها

QuirkyLoader با توزیع چندین خانواده بدافزار مشهور مرتبط دانسته شده است، از جمله:

  • مامور تسلا
  • AsyncRAT
  • فرم‌بوک
  • ماس لاگر
  • رمکوس رت
  • رادامانتیس استیلر
  • کی‌لاگر مار

این مجموعه ابزار گسترده، سازگاری لودر و توانایی عامل تهدید را برای راه‌اندازی حملات سایبری متنوع برجسته می‌کند.

ارسال فریبنده از طریق ایمیل‌های اسپم

مهاجمان برای ارسال هرزنامه‌های مخرب، هم به ارائه‌دهندگان خدمات ایمیل قانونی و هم به یک سرور ایمیل میزبان شخصی متکی هستند. هر ایمیل معمولاً حاوی یک فایل بایگانی است که سه جزء حیاتی را در خود جای داده است:

  • یک DLL مخرب
  • یک بار داده رمزگذاری شده
  • یک فایل اجرایی قانونی

مهاجمان از طریق بارگذاری جانبی DLL، از این واقعیت سوءاستفاده می‌کنند که اجرای فایل اجرایی قانونی، DLL مخرب را نیز فعال می‌کند. سپس این DLL رمزگشایی شده و بار داده نهایی را به فرآیند هدف خود تزریق می‌کند.

سوءاستفاده از فرآیند توخالی‌سازی

مکانیسم تزریق شامل فرآیند توخالی‌سازی است، تکنیکی که در آن بدافزار کد یک فرآیند قانونی را با کد خود جایگزین می‌کند. در کمپین‌های QuirkyLoader، فرآیندهای مورد علاقه برای تزریق عبارتند از:

  • AddInProcess32.exe
  • InstallUtil.exe
  • aspnet_wp.exe

این روش به بدافزار اجازه می‌دهد تا خود را به عنوان یک فعالیت مشروع جا بزند و تشخیص آن را بسیار چالش‌برانگیزتر کند.

حملات هدفمند در تایوان و مکزیک

QuirkyLoader تاکنون در کمپین‌های کوچک‌تر و متمرکز مشاهده شده است. دو موج قابل توجه در ژوئیه ۲۰۲۵ ثبت شد:

کمپین تایوان : به‌طور خاص کارمندان شرکت امنیت سایبری و شبکه Nusoft Taiwan را هدف قرار داد. این عملیات با هدف استقرار Snake Keylogger انجام شد که برای استخراج داده‌های مرورگر، کلیدهای فشرده‌شده و محتوای کلیپ‌بورد طراحی شده است.

کمپین مکزیک : به نظر می‌رسد ماهیت بی‌ملاحظه‌ای دارد و Remcos RAT و AsyncRAT را بدون الگوهای هدف‌گیری مشخص توزیع می‌کند.

مشخصات فنی لودر

عامل تهدید به طور مداوم ماژول بارگذار DLL را با استفاده از زبان‌های .NET توسعه می‌دهد. برای افزایش انعطاف‌پذیری و مبهم‌سازی، بارگذار با استفاده از کامپایل پیش از موعد (AOT) کامپایل می‌شود و فایل‌های باینری تولید می‌کند که شبیه فایل‌های ایجاد شده در C یا C++ هستند. این امر تجزیه و تحلیل و شناسایی بدافزار را برای مدافعان دشوارتر می‌کند.

نکات پایانی

QuirkyLoader نمونه‌ی بارزی از چگونگی ادامه‌ی اصلاح روش‌های تحویل بدافزار توسط مجرمان سایبری برای به حداکثر رساندن مخفی‌کاری و کارایی است. مهاجمان با ترکیب بارگذاری جانبی DLL، پردازش توخالی و استراتژی‌های فیشینگ هدفمند، نه تنها از سد دفاعی عبور می‌کنند، بلکه کمپین‌های خود را برای به حداکثر رساندن تأثیر، تنظیم می‌کنند. سازمان‌ها باید در برابر پیوست‌های ایمیل مشکوک هوشیار باشند و از دفاع‌های امنیتی لایه‌ای برای کاهش مواجهه با چنین تهدیداتی استفاده کنند.

پرطرفدار

محموله با کلاهبرداری ایمیلی DHL Express ایجاد شده است

فیشینگ, هرزنامه
کمپین‌های فیشینگ همچنان از اعتماد مردم به شرکت‌های شناخته‌شده سوءاستفاده می‌کنند. یکی از این طرح‌ها که در حال رواج است، کلاهبرداری ایمیلی با عنوان «حمل و نقل با DHL Express ایجاد شده است» است. اگرچه این پیام‌ها وانمود می‌کنند که از طرف ارائه‌دهنده خدمات لجستیکی جهانی DHL ارسال شده‌اند، اما به هیچ وجه به شرکت قانونی ارتباطی ندارند. در عوض، آنها فریب‌هایی با دقت طراحی شده‌اند که برای سرقت...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,976
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...