QuirkyLoader 맬웨어

사이버보안 연구원들은 QuirkyLoader라는 새로운 맬웨어 로더를 발견했습니다. 이 맬웨어는 2024년 11월부터 스팸 이메일 캠페인에 적극적으로 활용되고 있습니다. 이 맬웨어의 주요 역할은 정보 도용 및 원격 액세스 트로이 목마(RAT)를 포함한 광범위한 악성 페이로드를 전달하는 것입니다.

점점 더 늘어나는 악성 소프트웨어

QuirkyLoader는 다음을 포함한 여러 가지 유명한 맬웨어 계열의 배포와 관련이 있는 것으로 밝혀졌습니다.

• 테슬라 요원
• 비동기RAT
• 양식집
• 매스로거
• 렘코스 RAT
• 라다만티스 스틸러
• 스네이크 키로거

이 광범위한 툴킷은 로더의 적응성과 위협 행위자가 다양한 사이버 공격을 감행할 수 있는 역량을 강조합니다.

스팸 이메일을 통한 사기성 배달

공격자들은 합법적인 이메일 서비스 제공업체와 자체 호스팅 이메일 서버 모두를 이용하여 악성 스팸을 유포합니다. 각 이메일에는 일반적으로 세 가지 중요한 구성 요소가 포함된 보관 파일이 포함되어 있습니다.

• 악성 DLL
• 암호화된 페이로드
• 합법적인 실행 파일

DLL 사이드 로딩을 통해 공격자는 합법적인 실행 파일을 실행하면 악성 DLL도 트리거된다는 점을 악용합니다. 악성 DLL은 최종 페이로드를 복호화하여 대상 프로세스에 주입합니다.

프로세스 공동화 활용

주입 메커니즘은 프로세스 할로잉(process hollowing)을 포함하는데, 이는 악성코드가 정상적인 프로세스의 코드를 자신의 코드로 대체하는 기법입니다. QuirkyLoader 캠페인에서 주입에 선호되는 프로세스는 다음과 같습니다.

• AddInProcess32.exe
• InstallUtil.exe
• aspnet_wp.exe

이 방법을 사용하면 악성 소프트웨어가 합법적인 활동으로 위장할 수 있어 탐지가 훨씬 더 어려워집니다.

대만과 멕시코를 표적으로 한 공격

QuirkyLoader는 지금까지 소규모의 집중적인 캠페인에서 관찰되었습니다. 2025년 7월에는 두 가지 주목할 만한 흐름이 기록되었습니다.

대만 캠페인 : 사이버 보안 및 네트워크 보안 회사인 Nusoft Taiwan의 직원들을 특별히 표적으로 삼았습니다. 이 작전의 목적은 브라우저 데이터, 키보드 입력, 클립보드 내용을 유출하도록 설계된 Snake Keylogger를 배포하는 것이었습니다.

멕시코 캠페인 : Remcos RAT와 AsyncRAT를 명확한 타겟팅 패턴 없이 배포하여 본질적으로 무차별적인 것으로 나타났습니다.

로더의 기술적 특성

위협 행위자는 .NET 언어를 사용하여 DLL 로더 모듈을 지속적으로 개발합니다. 복원성과 난독화를 강화하기 위해 로더는 사전 컴파일(AOT) 방식으로 컴파일되어 C 또는 C++로 작성된 바이너리와 유사한 바이너리를 생성합니다. 이로 인해 방어자가 악성코드를 분석하고 탐지하기가 더욱 어려워집니다.

마지막 생각

QuirkyLoader는 사이버 범죄자들이 은밀성과 효율성을 극대화하기 위해 배포 방식을 끊임없이 개선하는 모습을 보여주는 대표적인 사례입니다. DLL 사이드 로딩, 프로세스 할로잉, 그리고 표적 피싱 전략을 결합함으로써 공격자들은 방어 체계를 우회할 뿐만 아니라 공격 효과를 극대화하기 위해 캠페인을 맞춤화하고 있습니다. 조직은 의심스러운 이메일 첨부 파일에 대한 경계를 강화하고, 이러한 위협에 대한 노출을 줄이기 위해 다층적인 보안 방어 체계를 구축해야 합니다.