QuirkyLoader-malware
Cybersecurityonderzoekers hebben een nieuwe malwareloader ontdekt, genaamd QuirkyLoader, die sinds november 2024 actief wordt gebruikt in spamcampagnes via e-mail. De primaire rol ervan is het verspreiden van een breed scala aan schadelijke payloads, waaronder informatiedieven en trojans voor externe toegang (RAT's).
Inhoudsopgave
Een groeiend arsenaal aan malware
QuirkyLoader wordt in verband gebracht met de verspreiding van verschillende bekende malware-families, waaronder:
- Agent Tesla
- AsyncRAT
- Formulierboek
- Masslogger
- Remcos RAT
- Rhadamanthys Stealer
- Snake Keylogger
Deze uitgebreide toolkit benadrukt de aanpasbaarheid van de loader en het vermogen van de bedreigingsactor om uiteenlopende cyberaanvallen uit te voeren.
Misleidende levering via spam-e-mails
Aanvallers vertrouwen op zowel legitieme e-mailproviders als een zelfgehoste e-mailserver om schadelijke spam te versturen. Elke e-mail bevat doorgaans een archiefbestand met drie belangrijke componenten:
- Een kwaadaardige DLL
- Een gecodeerde payload
- Een legitiem uitvoerbaar bestand
Door middel van DLL-sideloading maken aanvallers misbruik van het feit dat het uitvoeren van het legitieme uitvoerbare bestand ook de schadelijke DLL activeert. Deze DLL decodeert en injecteert vervolgens de uiteindelijke payload in het doelproces.
Het uitbuiten van procesuitholling
Het injectiemechanisme omvat procesuitholling, een techniek waarbij malware de code van een legitiem proces vervangt door zijn eigen code. In de campagnes van QuirkyLoader zijn de meest gebruikte injectieprocessen:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Met deze methode kan de malware zich voordoen als legitieme activiteiten, waardoor detectie een stuk lastiger wordt.
Gerichte aanvallen in Taiwan en Mexico
QuirkyLoader is tot nu toe waargenomen in kleinere, gerichte campagnes. In juli 2025 werden twee opvallende golven geregistreerd:
Taiwanese campagne : specifiek gericht op medewerkers van Nusoft Taiwan, een cybersecurity- en netwerkbeveiligingsbedrijf. De operatie was gericht op de implementatie van Snake Keylogger, ontworpen om browsergegevens, toetsaanslagen en de inhoud van het klembord te exfiltreren.
Campagne Mexico : leek van nature minder selectief te zijn en verspreidde Remcos RAT en AsyncRAT zonder duidelijke targetingpatronen.
Technische kenmerken van de lader
De aanvaller ontwikkelt de DLL-loadermodule consequent met behulp van .NET-talen. Om de veerkracht en verduistering te vergroten, wordt de loader gecompileerd met behulp van ahead-of-time (AOT)-compilatie, wat binaire bestanden oplevert die lijken op die in C of C++. Dit maakt de malware moeilijker te analyseren en te detecteren voor verdedigers.
Laatste gedachten
QuirkyLoader is een duidelijk voorbeeld van hoe cybercriminelen hun aflevermethoden blijven verfijnen om stealth en efficiëntie te maximaliseren. Door DLL-sideloading, process hollowing en gerichte phishingstrategieën te combineren, omzeilen aanvallers niet alleen de verdediging, maar stemmen ze hun campagnes ook af op maximale impact. Organisaties moeten waakzaam blijven voor verdachte e-mailbijlagen en gelaagde beveiligingsmaatregelen implementeren om de blootstelling aan dergelijke bedreigingen te verminderen.
