QuirkyLoader Malware
Penyelidik keselamatan siber telah menemui pemuat perisian hasad baharu yang dikenali sebagai QuirkyLoader, yang telah dimanfaatkan secara aktif dalam kempen e-mel spam sejak November 2024. Peranan utamanya ialah untuk menyampaikan pelbagai muatan berniat jahat, termasuk pencuri maklumat dan trojan akses jauh (RAT).
Isi kandungan
Senjata Peribadi yang Berkembang
QuirkyLoader telah dikaitkan dengan pengedaran beberapa keluarga perisian hasad berprofil tinggi, termasuk:
- Ejen Tesla
- AsyncRAT
- Buku borang
- Masslogger
- RAT Remcos
- Rhadamanthys Pencuri
- Keylogger Ular
Kit alat yang luas ini menyerlahkan kebolehsuaian pemuat dan keupayaan pelaku ancaman untuk melancarkan pelbagai serangan siber.
Penghantaran Mengelirukan Melalui E-mel Spam
Penyerang bergantung pada kedua-dua penyedia perkhidmatan e-mel yang sah dan pelayan e-mel yang dihoskan sendiri untuk menghantar spam berniat jahat. Setiap e-mel biasanya mengandungi fail arkib yang mengandungi tiga komponen penting:
- DLL yang berniat jahat
- Muatan yang disulitkan
- Boleh laku yang sah
Melalui pemuatan sisi DLL, penyerang mengeksploitasi fakta bahawa menjalankan boleh laku yang sah juga mencetuskan DLL yang berniat jahat. DLL ini kemudiannya menyahsulit dan menyuntik muatan akhir ke dalam proses sasarannya.
Mengeksploitasi Proses Hollowing
Mekanisme suntikan melibatkan proses hollowing, teknik di mana perisian hasad menggantikan kod proses yang sah dengan kodnya sendiri. Dalam kempen QuirkyLoader, proses yang digemari untuk suntikan termasuk:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Kaedah ini membolehkan perisian hasad menyamar sebagai aktiviti yang sah, menjadikan pengesanan jauh lebih mencabar.
Serangan Bersasar di Taiwan dan Mexico
QuirkyLoader setakat ini telah diperhatikan dalam kempen yang lebih kecil dan terfokus. Dua gelombang ketara dicatatkan pada Julai 2025:
Kempen Taiwan : Menyasarkan pekerja Nusoft Taiwan, sebuah syarikat keselamatan siber dan keselamatan rangkaian. Operasi ini bertujuan untuk menggunakan Snake Keylogger, yang direka untuk mengeluarkan data penyemak imbas, ketukan kekunci dan kandungan papan keratan.
Kempen Mexico : Kelihatan lebih bersifat sembarangan, mengedarkan Remcos RAT dan AsyncRAT tanpa corak penyasaran yang jelas.
Ciri-ciri Teknikal Pemuat
Aktor ancaman secara konsisten membangunkan modul pemuat DLL menggunakan bahasa .NET. Untuk meningkatkan daya tahan dan kekeliruan, pemuat disusun menggunakan kompilasi ahead-of-time (AOT), menghasilkan perduaan yang menyerupai yang dicipta dalam C atau C++. Ini menjadikan perisian hasad lebih sukar untuk dianalisis dan dikesan oleh pembela.
Fikiran Akhir
QuirkyLoader ialah contoh yang jelas tentang cara penjenayah siber terus memperhalusi kaedah penyampaian mereka untuk memaksimumkan senyap dan kecekapan. Dengan menggabungkan pemuatan sisi DLL, proses mengosongkan dan strategi pancingan data yang disasarkan, penyerang bukan sahaja memintas pertahanan tetapi juga menyesuaikan kempen mereka untuk memaksimumkan impak. Organisasi harus terus berwaspada terhadap lampiran e-mel yang mencurigakan dan melaksanakan pertahanan keselamatan berlapis untuk mengurangkan pendedahan kepada ancaman tersebut.
