Malware QuirkyLoader
Pesquisadores de segurança cibernética descobriram um novo carregador de malware conhecido como QuirkyLoader, que tem sido usado ativamente em campanhas de e-mail de spam desde novembro de 2024. Sua função principal é entregar uma ampla gama de cargas maliciosas, incluindo ladrões de informações e trojans de acesso remoto (RATs).
Índice
Um crescente arsenal de malware
O QuirkyLoader foi associado à distribuição de diversas famílias de malware de alto perfil, incluindo:
- Agente Tesla
- AsyncRAT
- Livro de formulários
- Masslogger
- Remcos RAT
- Ladrão de Rhadamanthys
- Keylogger de cobra
Este amplo kit de ferramentas destaca a adaptabilidade do carregador e a capacidade do agente da ameaça de lançar diversos ataques cibernéticos.
Entrega enganosa por meio de e-mails de spam
Os invasores dependem tanto de provedores de serviços de e-mail legítimos quanto de um servidor de e-mail auto-hospedado para enviar spam malicioso. Cada e-mail normalmente contém um arquivo compactado com três componentes essenciais:
- Uma DLL maliciosa
- Uma carga útil criptografada
- Um executável legítimo
Por meio do carregamento lateral de DLLs, os invasores exploram o fato de que a execução do executável legítimo também aciona a DLL maliciosa. Essa DLL então descriptografa e injeta o payload final no processo alvo.
Explorando o processo de esvaziamento
O mecanismo de injeção envolve o esvaziamento de processos, uma técnica em que o malware substitui o código de um processo legítimo pelo seu próprio. Nas campanhas do QuirkyLoader, os processos preferidos para injeção incluem:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Esse método permite que o malware se disfarce de atividade legítima, tornando a detecção muito mais desafiadora.
Ataques direcionados em Taiwan e no México
Até o momento, o QuirkyLoader foi observado em campanhas menores e mais focadas. Duas ondas notáveis foram registradas em julho de 2025:
Campanha em Taiwan : teve como alvo específico funcionários da Nusoft Taiwan, uma empresa de segurança cibernética e de rede. A operação teve como objetivo implantar o Snake Keylogger, projetado para extrair dados do navegador, teclas digitadas e conteúdo da área de transferência.
Campanha do México : Parecia ser mais indiscriminada por natureza, distribuindo Remcos RAT e AsyncRAT sem padrões claros de segmentação.
Características Técnicas do Carregador
O agente da ameaça desenvolve consistentemente o módulo carregador de DLL usando linguagens .NET. Para aumentar a resiliência e a ofuscação, o carregador é compilado usando compilação antecipada (AOT), produzindo binários semelhantes aos criados em C ou C++. Isso torna o malware mais difícil de ser analisado e detectado pelos defensores.
Considerações finais
O QuirkyLoader é um exemplo claro de como os cibercriminosos continuam a aprimorar seus métodos de entrega para maximizar a furtividade e a eficiência. Ao combinar estratégias de sideload de DLL, esvaziamento de processos e phishing direcionado, os invasores não apenas contornam as defesas, mas também adaptam suas campanhas para maximizar o impacto. As organizações devem permanecer vigilantes contra anexos de e-mail suspeitos e implementar defesas de segurança em camadas para reduzir a exposição a essas ameaças.
