QuirkyLoader मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले क्विर्कीलोडर भनेर चिनिने नयाँ मालवेयर लोडर पत्ता लगाएका छन्, जुन नोभेम्बर २०२४ देखि स्पाम इमेल अभियानहरूमा सक्रिय रूपमा प्रयोग गरिएको छ। यसको प्राथमिक भूमिका जानकारी चोर्ने र रिमोट एक्सेस ट्रोजन (RATs) सहित विस्तृत दायराका दुर्भावनापूर्ण पेलोडहरू प्रदान गर्नु हो।
सामग्रीको तालिका
मालवेयरको बढ्दो भण्डार
QuirkyLoader लाई धेरै हाई-प्रोफाइल मालवेयर परिवारहरूको वितरणसँग जोडिएको छ, जसमा समावेश छन्:
- एजेन्ट टेस्ला
- एसिन्क्र्याट
- फारमबुक
- मासलगर
- रेमकोस र्याट
- राडामन्थिस चोर
- स्नेक किलगर
यो फराकिलो टुलकिटले लोडरको अनुकूलन क्षमता र विभिन्न साइबर आक्रमणहरू सुरु गर्ने खतरा अभिनेताको क्षमतालाई हाइलाइट गर्दछ।
स्पाम इमेलहरू मार्फत भ्रामक डेलिभरी
आक्रमणकारीहरू दुर्भावनापूर्ण स्पाम डेलिभर गर्न वैध इमेल सेवा प्रदायकहरू र स्व-होस्ट गरिएको इमेल सर्भर दुवैमा भर पर्छन्। प्रत्येक इमेलमा सामान्यतया तीन महत्वपूर्ण घटकहरू भएको अभिलेख फाइल हुन्छ:
- एक दुर्भावनापूर्ण DLL
- एउटा इन्क्रिप्टेड पेलोड
- एक वैध कार्यान्वयनयोग्य
DLL साइड-लोडिङ मार्फत, आक्रमणकारीहरूले वैध कार्यान्वयनयोग्य फाइल चलाउँदा पनि खराब DLL ट्रिगर हुन्छ भन्ने तथ्यको फाइदा उठाउँछन्। यो DLL त्यसपछि डिक्रिप्ट हुन्छ र अन्तिम पेलोडलाई यसको लक्षित प्रक्रियामा इन्जेक्ट गर्छ।
शोषण प्रक्रिया खोक्रो बनाउने
इंजेक्शन संयन्त्रमा प्रक्रिया खोक्रो बनाउने समावेश छ, एउटा प्रविधि जहाँ मालवेयरले वैध प्रक्रियाको कोडलाई आफ्नै कोडले प्रतिस्थापन गर्दछ। QuirkyLoader को अभियानहरूमा, इंजेक्शनको लागि मनपर्ने प्रक्रियाहरू समावेश छन्:
- AddInProcess32.exe प्रयोग गर्न सजिलो
- इन्स्टल युटिल.एक्सई
- aspnet_wp.exe प्रयोग गर्न सजिलो
यो विधिले मालवेयरलाई वैध गतिविधिको रूपमा भेष बदल्न अनुमति दिन्छ, जसले गर्दा पत्ता लगाउन धेरै चुनौतीपूर्ण हुन्छ।
ताइवान र मेक्सिकोमा लक्षित आक्रमणहरू
QuirkyLoader अहिलेसम्म साना, केन्द्रित अभियानहरूमा अवलोकन गरिएको छ। जुलाई २०२५ मा दुई उल्लेखनीय छालहरू रेकर्ड गरिएका थिए:
ताइवान अभियान : विशेष गरी साइबर सुरक्षा र नेटवर्क सुरक्षा कम्पनी नुसोफ्ट ताइवानका कर्मचारीहरूलाई लक्षित गरिएको थियो। यो अपरेशनको उद्देश्य ब्राउजर डेटा, किस्ट्रोकहरू र क्लिपबोर्ड सामग्रीहरू हटाउन डिजाइन गरिएको स्नेक किलगर तैनाथ गर्नु थियो।
मेक्सिको अभियान : स्पष्ट लक्ष्यीकरण ढाँचा बिना नै Remcos RAT र AsyncRAT वितरण गर्दै, प्रकृतिमा बढी विवेकहीन देखिन्थ्यो।
लोडरको प्राविधिक विशेषताहरू
खतरा अभिनेताले .NET भाषाहरू प्रयोग गरेर DLL लोडर मोड्युललाई निरन्तर रूपमा विकास गर्दछ। लचिलोपन र अस्पष्टता बढाउन, लोडरलाई अग्रिम-समय (AOT) संकलन प्रयोग गरेर कम्पाइल गरिन्छ, जसले C वा C++ मा सिर्जना गरिएका बाइनरीहरू जस्तै बाइनरीहरू उत्पादन गर्दछ। यसले डिफेन्डरहरूलाई मालवेयरको विश्लेषण र पत्ता लगाउन अझ गाह्रो बनाउँछ।
अन्तिम विचारहरू
साइबर अपराधीहरूले कसरी चोरी र दक्षतालाई अधिकतम बनाउन आफ्नो डेलिभरी विधिहरूलाई परिष्कृत गर्न जारी राख्छन् भन्ने कुराको स्पष्ट उदाहरण QuirkyLoader हो। DLL साइड-लोडिङ, प्रोसेस होलोइङ, र लक्षित फिसिङ रणनीतिहरू संयोजन गरेर, आक्रमणकारीहरूले प्रतिरक्षालाई बाइपास मात्र गर्दैनन् तर प्रभावलाई अधिकतम बनाउन आफ्नो अभियानहरूलाई पनि अनुकूलित गरिरहेका छन्। संस्थाहरूले शंकास्पद इमेल संलग्नकहरू विरुद्ध सतर्क रहनुपर्छ र यस्ता खतराहरूको जोखिम कम गर्न स्तरित सुरक्षा प्रतिरक्षाहरू लागू गर्नुपर्छ।
