„QuirkyLoader“ kenkėjiška programa
Kibernetinio saugumo tyrėjai atrado naują kenkėjiškų programų įkėlimo įrankį, vadinamą „QuirkyLoader“, kuris nuo 2024 m. lapkričio mėn. aktyviai naudojamas šlamšto el. laiškų kampanijose. Jo pagrindinė funkcija – pristatyti įvairius kenkėjiškus duomenis, įskaitant informacijos vagis ir nuotolinės prieigos Trojos arklius (RAT).
Turinys
Augantis kenkėjiškų programų arsenalas
„QuirkyLoader“ buvo susietas su kelių žinomų kenkėjiškų programų šeimų platinimu, įskaitant:
- Agentas Tesla
- AsyncRAT
- Formų knyga
- Masačusetso tinklaraštininkas
- Remcos RAT
- Rhadamanthys vagis
- Gyvatės klavišų registratorius
Šis platus įrankių rinkinys pabrėžia įkrovos programos prisitaikomumą ir grėsmės skleidėjo gebėjimą pradėti įvairias kibernetines atakas.
Apgaulingas pristatymas per šlamšto el. laiškus
Užpuolikai, norėdami siųsti kenkėjišką šlamštą, naudojasi ir teisėtais el. pašto paslaugų teikėjais, ir savarankiškai talpinamu el. pašto serveriu. Kiekviename el. laiške paprastai yra archyvo failas, kuriame yra trys svarbūs komponentai:
- Kenkėjiška DLL programa
- Užšifruotas naudingasis krovinys
- Teisėtas vykdomasis failas
Šalutinio DLL įkėlimo metu užpuolikai išnaudoja faktą, kad paleidus teisėtą vykdomąjį failą, taip pat suaktyvinama kenkėjiška DLL. Ši DLL tada iššifruoja ir įterpia galutinį paketą į tikslinį procesą.
Proceso tuštumos išnaudojimas
Injekcijos mechanizmas apima procesų ištuštinimą – techniką, kai kenkėjiška programa pakeičia teisėto proceso kodą savuoju. „QuirkyLoader“ kampanijose pageidaujami injekcijos procesai yra šie:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Šis metodas leidžia kenkėjiškai programai maskuotis kaip teisėta veikla, todėl ją aptikti yra daug sunkiau.
Tiksliniai išpuoliai Taivane ir Meksikoje
„QuirkyLoader“ iki šiol buvo pastebėtas mažesnėse, tikslinėse kampanijose. 2025 m. liepos mėn. buvo užfiksuotos dvi pastebimos bangos:
Kampanija Taivane : specialiai nukreipta į kibernetinio saugumo ir tinklo saugumo bendrovės „Nusoft Taiwan“ darbuotojus. Operacijos tikslas buvo panaudoti „Snake Keylogger“, skirtą naršyklės duomenims, klavišų paspaudimams ir iškarpinės turiniui išgauti.
Kampanija Meksikoje : Atrodė esanti nekritiškesnio pobūdžio, platindama „Remcos RAT“ ir „AsyncRAT“ be aiškių taikymo modelių.
Krautuvo techninės charakteristikos
Grėsmės veikėjas nuolat kuria DLL įkėlimo modulį naudodamas .NET kalbas. Siekiant padidinti atsparumą ir sumažinti klaidinimą, įkėlimo programa kompiliuojama naudojant išankstinio kompiliavimo (AOT) metodą, sukuriant dvejetainius failus, panašius į sukurtus C arba C++ kalbomis. Dėl to gynėjams sunkiau analizuoti ir aptikti kenkėjišką programą.
Baigiamosios mintys
„QuirkyLoader“ yra aiškus pavyzdys, kaip kibernetiniai nusikaltėliai toliau tobulina savo siuntimo metodus, siekdami maksimaliai padidinti slaptumą ir efektyvumą. Derindami DLL įkėlimą iš šoninio turinio, procesų „tuščiavidurį“ naudojimą ir tikslines sukčiavimo strategijas, užpuolikai ne tik apeina apsaugos sistemas, bet ir pritaiko savo kampanijas, kad padidintų poveikį. Organizacijos turėtų būti budrios dėl įtartinų el. laiškų priedų ir įdiegti daugiasluoksnes apsaugos priemones, kad sumažintų tokių grėsmių riziką.
