Oprogramowanie złośliwe QuirkyLoader
Badacze zajmujący się cyberbezpieczeństwem odkryli nowy program ładujący złośliwe oprogramowanie, znany jako QuirkyLoader, który jest aktywnie wykorzystywany w kampaniach spamowych od listopada 2024 r. Jego główną rolą jest dostarczanie szerokiej gamy złośliwych ładunków, w tym programów wykradających informacje i trojanów zdalnego dostępu (RAT).
Spis treści
Rosnący arsenał złośliwego oprogramowania
QuirkyLoader został powiązany z dystrybucją kilku znanych rodzin złośliwego oprogramowania, w tym:
- Agent Tesla
- AsyncRAT
- Książka formularzy
- Masslogger
- Remcos RAT
- Złodziej Radamantysa
- Snake Keylogger
Ten rozbudowany zestaw narzędzi podkreśla zdolność ładowarki do adaptacji i zdolność sprawcy zagrożenia do przeprowadzania różnorodnych cyberataków.
Oszukańcze dostarczanie za pośrednictwem wiadomości spamowych
Atakujący wykorzystują zarówno legalnych dostawców usług pocztowych, jak i własny serwer pocztowy do rozsyłania złośliwego spamu. Każdy e-mail zazwyczaj zawiera plik archiwum zawierający trzy kluczowe komponenty:
- Złośliwa biblioteka DLL
- Zaszyfrowany ładunek
- Legalny plik wykonywalny
Poprzez sideloading DLL atakujący wykorzystują fakt, że uruchomienie legalnego pliku wykonywalnego powoduje również uruchomienie złośliwej biblioteki DLL. Ta biblioteka DLL następnie odszyfrowuje i wstrzykuje ostateczny ładunek do procesu docelowego.
Wykorzystanie procesu drążenia
Mechanizm wstrzykiwania kodu obejmuje „process hollowing”, technikę, w której złośliwe oprogramowanie zastępuje kod legalnego procesu swoim własnym. W kampaniach QuirkyLoadera preferowane procesy do wstrzykiwania kodu to:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Metoda ta umożliwia złośliwemu oprogramowaniu podszywanie się pod legalną aktywność, co znacznie utrudnia jego wykrycie.
Celowe ataki na Tajwanie i w Meksyku
QuirkyLoader był dotychczas obserwowany w mniejszych, ukierunkowanych kampaniach. W lipcu 2025 roku odnotowano dwie znaczące fale:
Kampania na Tajwanie : Celem operacji byli pracownicy Nusoft Taiwan, firmy zajmującej się cyberbezpieczeństwem i bezpieczeństwem sieci. Celem operacji było wdrożenie programu Snake Keylogger, zaprojektowanego do pozyskiwania danych z przeglądarki, naciśnięć klawiszy i zawartości schowka.
Kampania w Meksyku : Wydawało się, że miała bardziej chaotyczny charakter, dystrybuując Remcos RAT i AsyncRAT bez wyraźnych wzorców docelowych.
Dane techniczne ładowarki
Aktor zagrożenia konsekwentnie rozwija moduł ładujący biblioteki DLL, korzystając z języków .NET. Aby zwiększyć odporność i maskowanie, moduł ładujący jest kompilowany z wyprzedzeniem (AOT), generując pliki binarne przypominające te utworzone w językach C lub C++. Utrudnia to obrońcom analizę i wykrycie złośliwego oprogramowania.
Ostatnie myśli
QuirkyLoader to wyraźny przykład tego, jak cyberprzestępcy nieustannie udoskonalają swoje metody dostarczania wiadomości, aby zmaksymalizować ich skuteczność i ukrycie. Łącząc boczne ładowanie bibliotek DLL, drążenie procesów i ukierunkowane strategie phishingu, atakujący nie tylko omijają zabezpieczenia, ale także dostosowują swoje kampanie, aby zmaksymalizować ich skuteczność. Organizacje powinny zachować czujność wobec podejrzanych załączników e-mail i wdrażać wielowarstwowe zabezpieczenia, aby ograniczyć narażenie na takie zagrożenia.
