Malware QuirkyLoader
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware loader noto come QuirkyLoader, che è stato attivamente sfruttato nelle campagne di posta elettronica spam da novembre 2024. Il suo ruolo principale è quello di distribuire un'ampia gamma di payload dannosi, tra cui ladri di informazioni e trojan di accesso remoto (RAT).
Sommario
Un arsenale crescente di malware
QuirkyLoader è stato collegato alla distribuzione di diverse famiglie di malware di alto profilo, tra cui:
- Agente Tesla
- AsyncRAT
- Modulo
- Masslogger
- Remcos RAT
- Rhadamanthys Stealer
- Keylogger serpente
Questo ampio toolkit mette in evidenza l'adattabilità del loader e la capacità dell'autore della minaccia di lanciare diversi attacchi informatici.
Consegna ingannevole tramite e-mail di spam
Gli aggressori si affidano sia a provider di posta elettronica legittimi sia a server di posta elettronica self-hosted per recapitare spam dannoso. Ogni email contiene in genere un file di archivio contenente tre componenti critici:
- Una DLL dannosa
- Un carico utile crittografato
- Un eseguibile legittimo
Attraverso il side-loading delle DLL, gli aggressori sfruttano il fatto che l'esecuzione dell'eseguibile legittimo attiva anche la DLL dannosa. Questa DLL decifra e inietta il payload finale nel processo di destinazione.
Sfruttamento del processo di svuotamento
Il meccanismo di iniezione prevede il process hollowing, una tecnica in cui il malware sostituisce il codice di un processo legittimo con il proprio. Nelle campagne di QuirkyLoader, i processi preferiti per l'iniezione includono:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Questo metodo consente al malware di mascherarsi da attività legittima, rendendone molto più difficile il rilevamento.
Attacchi mirati a Taiwan e in Messico
QuirkyLoader è stato finora osservato in campagne più piccole e mirate. Due ondate degne di nota sono state registrate nel luglio 2025:
Campagna di Taiwan : ha preso di mira specificamente i dipendenti di Nusoft Taiwan, un'azienda di sicurezza informatica e di rete. L'operazione mirava a implementare Snake Keylogger, progettato per esfiltrare dati del browser, sequenze di tasti premuti e contenuti degli appunti.
Campagna in Messico : sembrava essere di natura più indiscriminata, distribuendo Remcos RAT e AsyncRAT senza chiari schemi di targeting.
Caratteristiche tecniche del caricatore
L'autore della minaccia sviluppa costantemente il modulo di caricamento DLL utilizzando linguaggi .NET. Per aumentare la resilienza e l'offuscamento, il caricatore viene compilato utilizzando la compilazione anticipata (AOT), producendo file binari simili a quelli creati in C o C++. Questo rende il malware più difficile da analizzare e rilevare per i difensori.
Considerazioni finali
QuirkyLoader è un chiaro esempio di come i criminali informatici continuino a perfezionare i propri metodi di distribuzione per massimizzare la furtività e l'efficienza. Combinando strategie di side-loading DLL, process hollowing e phishing mirato, gli aggressori non solo aggirano le difese, ma personalizzano anche le proprie campagne per massimizzarne l'impatto. Le organizzazioni dovrebbero rimanere vigili contro gli allegati e-mail sospetti e implementare difese di sicurezza a più livelli per ridurre l'esposizione a tali minacce.
