הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית QuirkyLoader

תוכנה זדונית QuirkyLoader

עד Mezo ב-תוכנה זדונית
לתרגם ל:

חוקרי אבטחת סייבר חשפו תוכנה זדונית חדשה בשם QuirkyLoader, אשר מנוצלת באופן פעיל בקמפיינים של דואר זבל בדוא"ל מאז נובמבר 2024. תפקידה העיקרי הוא להעביר מגוון רחב של מטענים זדוניים, כולל גנבי מידע וסוסים טרויאניים לגישה מרחוק (RATs).

ארסנל הולך וגדל של תוכנות זדוניות

QuirkyLoader נקשר להפצה של מספר משפחות תוכנות זדוניות ידועות, ביניהן:

  • הסוכן טסלה
  • אסינקראט
  • ספר טפסים
  • מסה-לוגר
  • רמקוס RAT
  • רדמנתיס סטיילר
  • נחש Keylogger

ארגז כלים רחב זה מדגיש את יכולת ההסתגלות של הטוען ואת יכולתו של גורם האיום לשגר התקפות סייבר מגוונות.

מסירה מטעה באמצעות דואר זבל

תוקפים מסתמכים הן על ספקי שירותי דוא"ל לגיטימיים והן על שרת דוא"ל עצמאי כדי לשלוח דואר זדוני. כל דוא"ל מכיל בדרך כלל קובץ ארכיון המכיל שלושה רכיבים קריטיים:

  • קובץ DLL זדוני
  • מטען מוצפן
  • קובץ הרצה לגיטימי

באמצעות טעינת DLL צדדית, התוקפים מנצלים את העובדה שהפעלת קובץ ה-DLL הלגיטימי מפעילה גם את קובץ ה-DLL הזדוני. לאחר מכן, קובץ DLL זה מפענח ומזריק את המטען הסופי לתהליך היעד שלו.

ניצול תהליך חלול

מנגנון ההזרקה כולל תהליך חלול (process hollowing), טכניקה שבה תוכנה זדונית מחליפה את הקוד של תהליך לגיטימי בקוד משלה. בקמפיינים של QuirkyLoader, התהליכים המועדפים להזרקה כוללים:

  • AddInProcess32.exe
  • InstallUtil.exe
  • aspnet_wp.exe

שיטה זו מאפשרת לתוכנה הזדונית להתחזות לפעילות לגיטימית, מה שהופך את הזיהוי למאתגר הרבה יותר.

פיגועים ממוקדים בטייוואן ובמקסיקו

עד כה נצפה QuirkyLoader בקמפיינים קטנים וממוקדים יותר. שני גלים בולטים נרשמו ביולי 2025:

קמפיין בטייוואן : כוון ספציפית לעובדי Nusoft Taiwan, חברת אבטחת סייבר ואבטחת רשת. מטרת המבצע הייתה לפרוס את Snake Keylogger, שנועד לחלץ נתוני דפדפן, הקשות ותוכן לוח כתיבה.

קמפיין מקסיקו : נראה היה כי הוא חסר הבחנה יותר באופיו, והפיץ את Remcos RAT ו-AsyncRAT ללא דפוסי מיקוד ברורים.

מאפיינים טכניים של המטען

גורם האיום מפתח באופן עקבי את מודול טוען ה-DLL באמצעות שפות .NET. כדי להגביר את החוסן והערפול, הטוען עובר קומפילציה באמצעות קומפילציה מראש (AOT), המייצרת קבצים בינאריים הדומים לאלה שנוצרו ב-C או C++. זה מקשה על המגנים לנתח ולזהות את התוכנה הזדונית.

מחשבות אחרונות

QuirkyLoader הוא דוגמה מובהקת לאופן שבו פושעי סייבר ממשיכים לשכלל את שיטות המסירה שלהם כדי למקסם את החמקנות והיעילות. על ידי שילוב של טעינה צדדית של קבצי DLL, תהליך חלול ואסטרטגיות פישינג ממוקדות, תוקפים לא רק עוקפים הגנות אלא גם מתאימים את הקמפיינים שלהם כדי למקסם את ההשפעה. ארגונים צריכים להישאר ערניים מפני קבצים מצורפים חשודים בדוא"ל וליישם הגנות אבטחה רב-שכבתיות כדי להפחית את החשיפה לאיומים כאלה.

מגמות

משלוח נוצר באמצעות הונאת דוא"ל של DHL Express

פישינג, ספאם
קמפייני פישינג ממשיכים לנצל את האמון שאנשים נותנים בחברות ידועות. אחת התוכניות הללו שמסתובבות היא הונאת הדוא"ל "משלוח נוצר באמצעות DHL Express". למרות שהודעות אלו מתייצבות כאילו מגיעות מספקית הלוגיסטיקה העולמית DHL, הן אינן קשורות בשום צורה לחברה הלגיטימית. במקום זאת, מדובר בפיתויים שנועדו לגנוב מידע רגיש או להתקין תוכנות זדוניות. כיצד פועלת ההונאה האימיילים בדרך כלל טוענים כי משלוח חדש נוצר...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,976
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...