QuirkyLoader मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने क्विर्की लोडर नामक एक नए मैलवेयर लोडर का पता लगाया है, जिसका नवंबर 2024 से स्पैम ईमेल अभियानों में सक्रिय रूप से उपयोग किया जा रहा है। इसकी प्राथमिक भूमिका सूचना चुराने वाले और रिमोट एक्सेस ट्रोजन (आरएटी) सहित कई प्रकार के दुर्भावनापूर्ण पेलोड वितरित करना है।
विषयसूची
मैलवेयर का बढ़ता शस्त्रागार
क्विर्कीलोडर को कई उच्च-प्रोफ़ाइल मैलवेयर परिवारों के वितरण से जोड़ा गया है, जिनमें शामिल हैं:
- एजेंट टेस्ला
- एसिंक्रोनस RAT
- फॉर्मबुक
- मासलॉगर
- रेमकोस आरएटी
- रादामंथिस चोर
- स्नेक कीलॉगर
यह व्यापक टूलकिट लोडर की अनुकूलनशीलता और खतरा पैदा करने वाले की विविध साइबर हमले करने की क्षमता पर प्रकाश डालता है।
स्पैम ईमेल के माध्यम से भ्रामक वितरण
हमलावर दुर्भावनापूर्ण स्पैम भेजने के लिए वैध ईमेल सेवा प्रदाताओं और स्वयं-होस्टेड ईमेल सर्वर, दोनों पर निर्भर रहते हैं। प्रत्येक ईमेल में आमतौर पर एक संग्रह फ़ाइल होती है जिसमें तीन महत्वपूर्ण घटक होते हैं:
- एक दुर्भावनापूर्ण DLL
- एक एन्क्रिप्टेड पेलोड
- एक वैध निष्पादन योग्य
DLL साइड-लोडिंग के ज़रिए, हमलावर इस तथ्य का फ़ायदा उठाते हैं कि वैध एक्ज़ीक्यूटेबल चलाने से दुर्भावनापूर्ण DLL भी सक्रिय हो जाता है। यह DLL फिर अंतिम पेलोड को डिक्रिप्ट करके अपने लक्ष्य प्रोसेस में डाल देता है।
प्रक्रिया खोखलापन का दोहन
इंजेक्शन तंत्र में प्रोसेस होलोइंग शामिल है, एक ऐसी तकनीक जिसमें मैलवेयर किसी वैध प्रोसेस के कोड को अपने कोड से बदल देता है। क्विर्कीलोडर के अभियानों में, इंजेक्शन के लिए पसंदीदा प्रक्रियाएँ शामिल हैं:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
यह विधि मैलवेयर को वैध गतिविधि के रूप में प्रकट होने की अनुमति देती है, जिससे पता लगाना अधिक चुनौतीपूर्ण हो जाता है।
ताइवान और मेक्सिको में लक्षित हमले
क्विर्कीलोडर को अब तक छोटे, केंद्रित अभियानों में ही देखा गया है। जुलाई 2025 में दो उल्लेखनीय लहरें दर्ज की गईं:
ताइवान अभियान : साइबर सुरक्षा और नेटवर्क सुरक्षा कंपनी, नुसॉफ्ट ताइवान के कर्मचारियों को विशेष रूप से निशाना बनाया गया। इस अभियान का उद्देश्य स्नेक कीलॉगर को तैनात करना था, जिसे ब्राउज़र डेटा, कीस्ट्रोक्स और क्लिपबोर्ड सामग्री को चुराने के लिए डिज़ाइन किया गया था।
मेक्सिको अभियान : यह अधिक अंधाधुंध प्रकृति का प्रतीत होता है, जिसमें स्पष्ट लक्ष्यीकरण पैटर्न के बिना रेमकोस आरएटी और एसिंक्रैट वितरित किया जाता है।
लोडर की तकनीकी विशेषताएँ
ख़तरा पैदा करने वाला लगातार .NET भाषाओं का उपयोग करके DLL लोडर मॉड्यूल विकसित करता है। लचीलापन और अस्पष्टता बढ़ाने के लिए, लोडर को समय से पहले (AOT) संकलन का उपयोग करके संकलित किया जाता है, जिससे C या C++ में बनाए गए बाइनरीज़ जैसे बाइनरीज़ बनते हैं। इससे मैलवेयर का विश्लेषण और पता लगाना बचावकर्ताओं के लिए और भी मुश्किल हो जाता है।
अंतिम विचार
क्विर्कीलोडर इस बात का स्पष्ट उदाहरण है कि साइबर अपराधी किस तरह अपनी गोपनीयता और दक्षता को अधिकतम करने के लिए अपनी डिलीवरी विधियों को लगातार बेहतर बनाते रहते हैं। डीएलएल साइड-लोडिंग, प्रोसेस होलोइंग और लक्षित फ़िशिंग रणनीतियों को मिलाकर, हमलावर न केवल सुरक्षा उपायों को दरकिनार कर रहे हैं, बल्कि अपने अभियानों को भी अधिकतम प्रभाव के लिए अनुकूलित कर रहे हैं। संगठनों को संदिग्ध ईमेल अटैचमेंट के प्रति सतर्क रहना चाहिए और ऐसे खतरों से बचने के लिए स्तरित सुरक्षा उपाय लागू करने चाहिए।
