QuirkyLoader-skadevare
Forskere innen nettsikkerhet har avdekket en ny skadevarelaster kjent som QuirkyLoader, som har blitt aktivt utnyttet i spam-e-postkampanjer siden november 2024. Dens primære rolle er å levere et bredt spekter av ondsinnede nyttelaster, inkludert informasjonstyvere og trojanere for fjerntilgang (RAT-er).
Innholdsfortegnelse
Et voksende arsenal av skadelig programvare
QuirkyLoader har blitt koblet til distribusjonen av flere profilerte skadevarefamilier, inkludert:
- Agent Tesla
- AsyncRAT
- Skjemabok
- Masselogger
- Remcos RAT
- Rhadamanthys Stealer
- Snake Keylogger
Dette brede verktøysettet fremhever lasterens tilpasningsevne og trusselaktørens evne til å iverksette ulike cyberangrep.
Villedende levering via spam-e-poster
Angripere er avhengige av både legitime e-postleverandører og en selvhostet e-postserver for å levere ondsinnet spam. Hver e-post inneholder vanligvis en arkivfil som inneholder tre kritiske komponenter:
- En ondsinnet DLL
- En kryptert nyttelast
- En legitim kjørbar enhet
Gjennom DLL-sidelasting utnytter angriperne det faktum at kjøring av den legitime kjørbare filen også utløser den skadelige DLL-filen. Denne DLL-filen dekrypterer og injiserer deretter den endelige nyttelasten i målprosessen.
Utnyttelse av prosessuthuling
Injeksjonsmekanismen involverer prosessuthuling, en teknikk der skadelig programvare erstatter koden til en legitim prosess med sin egen. I QuirkyLoaders kampanjer inkluderer de foretrukne prosessene for injeksjon:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Denne metoden lar skadevaren utgi seg for å være legitim aktivitet, noe som gjør deteksjon langt vanskeligere.
Målrettede angrep i Taiwan og Mexico
QuirkyLoader har så langt blitt observert i mindre, fokuserte kampanjer. To bemerkelsesverdige bølger ble registrert i juli 2025:
Taiwan-kampanje : Spesielt rettet mot ansatte i Nusoft Taiwan, et selskap for nettsikkerhet og nettverkssikkerhet. Operasjonen hadde som mål å distribuere Snake Keylogger, som er utviklet for å stramme inn nettleserdata, tastetrykk og innhold fra utklippstavlen.
Mexico-kampanjen : Virket å være mer vilkårlig av natur, og distribuerte Remcos RAT og AsyncRAT uten klare målrettingsmønstre.
Lasterens tekniske egenskaper
Trusselaktøren utvikler konsekvent DLL-lastemodulen ved hjelp av .NET-språk. For å øke robustheten og obfuskasjonen kompileres lasteren ved hjelp av ahead-of-time (AOT)-kompilering, noe som produserer binærfiler som ligner på de som er laget i C eller C++. Dette gjør det vanskeligere for forsvarere å analysere og oppdage skadevaren.
Avsluttende tanker
QuirkyLoader er et tydelig eksempel på hvordan nettkriminelle fortsetter å forbedre leveringsmetodene sine for å maksimere stealth og effektivitet. Ved å kombinere DLL-sidelasting, prosessuthuling og målrettede phishing-strategier, omgår angripere ikke bare forsvar, men skreddersyr også kampanjene sine for å maksimere effekten. Organisasjoner bør være årvåkne mot mistenkelige e-postvedlegg og implementere lagdelte sikkerhetsforsvar for å redusere eksponering for slike trusler.
