QuirkyLoader kártevő
Kiberbiztonsági kutatók felfedeztek egy új kártevő-betöltőt, a QuirkyLoader-t, amelyet 2024 novembere óta aktívan használnak a spam e-mail kampányokban. Elsődleges szerepe a rosszindulatú hasznos fájlok széles skálájának eljuttatása, beleértve az információlopókat és a távoli hozzáférésű trójaiakat (RAT).
Tartalomjegyzék
A rosszindulatú programok egyre növekvő arzenálja
A QuirkyLoadert számos ismert kártevőcsalád terjesztésével hozták összefüggésbe, beleértve a következőket:
- Tesla ügynök
- AsyncRAT
- Űrlapfüzet
- Tömeges naplózó
- Remcos RAT
- Rhadamanthys-lopó
- Kígyóbillentyűzet-figyelő
Ez az átfogó eszköztár kiemeli a betöltő alkalmazkodóképességét és a fenyegetés elkövetőjének képességét különféle kibertámadások indítására.
Megtévesztő kézbesítés spam e-maileken keresztül
A támadók mind legitim e-mail szolgáltatókra, mind egy saját tárhelyen üzemeltetett e-mail szerverre támaszkodnak a rosszindulatú spam kézbesítéséhez. Minden e-mail jellemzően tartalmaz egy archív fájlt, amely három kritikus összetevőt tartalmaz:
- Egy rosszindulatú DLL
- Titkosított hasznos adat
- Egy legitim futtatható fájl
A DLL oldalra töltésén keresztül a támadók azt a tényt használják ki, hogy a legitim futtatható fájl futtatása egyben elindítja a rosszindulatú DLL-t is. Ez a DLL ezután dekódolja és befecskendezi a végső hasznos adatot a célfolyamatba.
A folyamat kiürülésének kihasználása
A befecskendezési mechanizmus a folyamatok üregesítését (process hollowing) foglalja magában, egy olyan technikát, ahol a rosszindulatú program egy legitim folyamat kódját a sajátjával helyettesíti. A QuirkyLoader kampányaiban a befecskendezés szempontjából előnyben részesített folyamatok a következők:
- AddInProcess32.exe fájl
- InstallUtil.exe
- aspnet_wp.exe
Ez a módszer lehetővé teszi, hogy a rosszindulatú program legitim tevékenységnek álcázza magát, ami sokkal nehezebbé teszi az észlelést.
Célzott támadások Tajvanon és Mexikóban
A QuirkyLoader eddig kisebb, célzott kampányokban volt megfigyelhető. Két figyelemre méltó hullámot regisztráltak 2025 júliusában:
Tajvani kampány : Kifejezetten a Nusoft Taiwan, egy kiberbiztonsági és hálózatbiztonsági vállalat alkalmazottait célozták meg. A művelet célja a Snake Keylogger telepítése volt, amelyet böngészőadatok, billentyűleütések és vágólap tartalmának kiszivárogtatására terveztek.
Mexikói kampány : Válogatásmentesebbnek tűnt, a Remcos RAT és az AsyncRAT vírusokat egyértelmű célzási minták nélkül terjesztette.
A rakodó műszaki jellemzői
A fenyegető szereplő következetesen .NET nyelveket használva fejleszti a DLL betöltő modult. A rugalmasság és az obfuszkálás növelése érdekében a betöltőt előretolt (AOT) fordítással fordítják le, olyan bináris fájlokat hozva létre, amelyek hasonlítanak a C vagy C++ nyelven létrehozottakhoz. Ez megnehezíti a kártevő elemzését és észlelését a védők számára.
Záró gondolatok
A QuirkyLoader jól példázza, hogyan finomítják folyamatosan a kiberbűnözők a kézbesítési módszereiket a lopakodás és a hatékonyság maximalizálása érdekében. A DLL-oldalra töltés, a folyamatok üregesítése és a célzott adathalász stratégiák kombinálásával a támadók nemcsak a védelmet kerülik meg, hanem kampányaikat is a hatás maximalizálása érdekében alakítják ki. A szervezeteknek továbbra is ébernek kell lenniük a gyanús e-mail-mellékletekkel szemben, és többrétegű biztonsági védelmet kell bevezetniük az ilyen fenyegetéseknek való kitettség csökkentése érdekében.
