Zlonamjerni softver QuirkyLoader
Istraživači kibernetičke sigurnosti otkrili su novi program za učitavanje zlonamjernog softvera poznat kao QuirkyLoader, koji se aktivno koristi u kampanjama neželjene e-pošte od studenog 2024. Njegova je primarna uloga isporuka širokog raspona zlonamjernih sadržaja, uključujući kradljivce informacija i trojance za udaljeni pristup (RAT).
Sadržaj
Rastući arsenal zlonamjernog softvera
QuirkyLoader je povezan s distribucijom nekoliko poznatih obitelji zlonamjernog softvera, uključujući:
- Agent Tesla
- AsyncRAT
- Knjiga obrazaca
- Masslogger
- Remcos RAT
- Kradljivac Radamanthys
- Zmijski keylogger
Ovaj široki skup alata ističe prilagodljivost učitavača i sposobnost aktera prijetnje da pokrene raznolike kibernetičke napade.
Obmanjujuća dostava putem neželjene e-pošte
Napadači se oslanjaju i na legitimne pružatelje usluga e-pošte i na samostalno hostirani poslužitelj e-pošte kako bi isporučivali zlonamjernu neželjenu poštu. Svaka e-pošta obično sadrži arhivsku datoteku koja sadrži tri ključne komponente:
- Zlonamjerni DLL
- Šifrirani korisni teret
- Legitimna izvršna datoteka
Bočnim učitavanjem DLL-a, napadači iskorištavaju činjenicu da pokretanje legitimne izvršne datoteke također aktivira zlonamjerni DLL. Ovaj DLL zatim dešifrira i ubrizgava konačni korisni sadržaj u svoj ciljni proces.
Iskorištavanje procesa izdubljivanja
Mehanizam ubrizgavanja uključuje "process hollowing", tehniku u kojoj zlonamjerni softver zamjenjuje kod legitimnog procesa svojim vlastitim. U kampanjama QuirkyLoadera, preferirani procesi za ubrizgavanje uključuju:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Ova metoda omogućuje zlonamjernom softveru da se maskira kao legitimna aktivnost, što otkrivanje čini znatno težim.
Ciljani napadi u Tajvanu i Meksiku
QuirkyLoader je do sada uočen u manjim, fokusiranim kampanjama. Dva značajna vala zabilježena su u srpnju 2025.:
Tajvanska kampanja : Posebno usmjerena na zaposlenike tvrtke Nusoft Taiwan, tvrtke za kibernetičku i mrežnu sigurnost. Cilj operacije bio je primijeniti Snake Keylogger, dizajniran za krađu podataka preglednika, pritisaka tipki i sadržaja međuspremnika.
Kampanja u Meksiku : Činilo se da je bila neselektivnije prirode, distribuirajući Remcos RAT i AsyncRAT bez jasnih obrazaca ciljanja.
Tehničke karakteristike utovarivača
Prijetnja dosljedno razvija DLL modul za učitavanje koristeći .NET jezike. Kako bi se povećala otpornost i zamagljivanje, učitavanje se kompilira korištenjem kompilacije unaprijed (AOT), stvarajući binarne datoteke koje nalikuju onima stvorenima u C ili C++. Zbog toga je zlonamjerni softver teže analizirati i otkrivati braniteljima.
Završne misli
QuirkyLoader je jasan primjer kako kibernetički kriminalci nastavljaju usavršavati svoje metode isporuke kako bi maksimizirali prikrivenost i učinkovitost. Kombiniranjem bočnog učitavanja DLL-ova, uništavanja procesa i ciljanih phishing strategija, napadači ne samo da zaobilaze obranu, već i prilagođavaju svoje kampanje kako bi maksimizirali učinak. Organizacije bi trebale ostati oprezne prema sumnjivim privitcima e-pošte i implementirati slojevitu sigurnosnu obranu kako bi smanjile izloženost takvim prijetnjama.
