QuirkyLoader ļaunprogrammatūra
Kiberdrošības pētnieki ir atklājuši jaunu ļaunprogrammatūras ielādētāju, kas pazīstams kā QuirkyLoader, un kas kopš 2024. gada novembra tiek aktīvi izmantots surogātpasta e-pasta kampaņās. Tā galvenais uzdevums ir piegādāt plašu ļaunprātīgu vērtumu klāstu, tostarp informācijas zagļus un attālās piekļuves Trojas zirgus (RAT).
Satura rādītājs
Augošs ļaunprogrammatūras arsenāls
QuirkyLoader ir saistīts ar vairāku augsta profila ļaunprogrammatūru saimju izplatīšanu, tostarp:
- Aģents Tesla
- AsyncRAT
- Veidlapu grāmata
- Masu žurnālu veidotājs
- Remcos RAT
- Rhadamanthys zaglis
- Čūskas taustiņu reģistrētājs
Šis plašais rīku komplekts izceļ ielādētāja pielāgošanās spēju un apdraudējuma izpildītāja spēju veikt dažādus kiberuzbrukumus.
Maldinoša piegāde, izmantojot surogātpasta e-pastus
Uzbrucēji ļaunprātīga surogātpasta piegādei paļaujas gan uz likumīgiem e-pasta pakalpojumu sniedzējiem, gan uz pašmitinātu e-pasta serveri. Katrā e-pastā parasti ir arhīva fails ar trim kritiski svarīgām sastāvdaļām:
- Ļaunprātīga DLL fails
- Šifrēta lietderīgā slodze
- Leģitīms izpildāmais fails
Izmantojot DLL sānu ielādi, uzbrucēji izmanto faktu, ka likumīga izpildāmā faila palaišana aktivizē arī ļaunprātīgo DLL. Šis DLL pēc tam atšifrē un ievada galīgo vērtumu mērķa procesā.
Procesa iztukšošanas izmantošana
Injekcijas mehānisms ietver procesa “hollowing” — tehniku, kurā ļaunprogrammatūra aizstāj likumīga procesa kodu ar savu. QuirkyLoader kampaņās iecienītākie injekcijas procesi ir šādi:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Šī metode ļauj ļaunprogrammatūrai maskēties kā likumīgai darbībai, padarot atklāšanu daudz sarežģītāku.
Mērķtiecīgi uzbrukumi Taivānā un Meksikā
QuirkyLoader līdz šim ir novērots mazākās, mērķtiecīgās kampaņās. 2025. gada jūlijā tika reģistrēti divi ievērojami viļņi:
Kampaņa Taivānā : Īpaši vērsta pret kiberdrošības un tīkla drošības uzņēmuma Nusoft Taiwan darbiniekiem. Operācijas mērķis bija izvietot Snake Keylogger, kas paredzēts pārlūkprogrammas datu, taustiņsitienu un starpliktuves satura izvilkšanai.
Meksikas kampaņa : šķita nekritiskāka, izplatot Remcos RAT un AsyncRAT bez skaidriem mērķauditorijas atlases modeļiem.
Iekrāvēja tehniskās īpašības
Apdraudējuma izpildītājs konsekventi izstrādā DLL ielādes moduli, izmantojot .NET valodas. Lai palielinātu noturību un maskēšanu, ielādētājs tiek kompilēts, izmantojot pirmstermiņa kompilāciju (AOT), radot bināros failus, kas līdzinās C vai C++ valodā izveidotajiem. Tas apgrūtina ļaunprogrammatūras analīzi un atklāšanu aizstāvjiem.
Noslēguma domas
QuirkyLoader ir skaidrs piemērs tam, kā kibernoziedznieki turpina pilnveidot savas piegādes metodes, lai maksimāli palielinātu slepenību un efektivitāti. Apvienojot DLL sānu ielādi, procesu iznīcināšanu un mērķtiecīgas pikšķerēšanas stratēģijas, uzbrucēji ne tikai apiet aizsardzību, bet arī pielāgo savas kampaņas, lai maksimāli palielinātu ietekmi. Organizācijām jābūt modrām attiecībā uz aizdomīgiem e-pasta pielikumiem un jāievieš daudzslāņu drošības aizsardzība, lai samazinātu pakļautību šādiem draudiem.
