Programe malware QuirkyLoader
Cercetătorii în domeniul securității cibernetice au descoperit un nou program de încărcare a programelor malware, cunoscut sub numele de QuirkyLoader, care a fost utilizat activ în campaniile de e-mailuri spam din noiembrie 2024. Rolul său principal este de a livra o gamă largă de sarcini malware, inclusiv hoți de informații și troieni de acces la distanță (RAT).
Cuprins
Un arsenal tot mai mare de programe malware
QuirkyLoader a fost asociat cu distribuirea mai multor familii de programe malware de mare anvergură, inclusiv:
- Agentul Tesla
- AsyncRAT
- Formular
- Masslogger
- Remcos RAT
- Rhadamanthys Stealer
- Snake Keylogger
Acest set de instrumente vast evidențiază adaptabilitatea încărcătorului și capacitatea actorului amenințător de a lansa diverse atacuri cibernetice.
Livrare înșelătoare prin e-mailuri spam
Atacatorii se bazează atât pe furnizori legitimi de servicii de e-mail, cât și pe un server de e-mail auto-găzduit pentru a trimite spam rău intenționat. Fiecare e-mail conține de obicei un fișier de arhivă care conține trei componente critice:
- Un DLL rău intenționat
- O sarcină utilă criptată
- Un executabil legitim
Prin încărcarea laterală a DLL-urilor, atacatorii exploatează faptul că rularea executabilului legitim declanșează și DLL-ul rău intenționat. Acest DLL decriptează apoi și injectează sarcina utilă finală în procesul țintă.
Exploatarea procesului de golire
Mecanismul de injectare implică golirea proceselor (process hoowing), o tehnică prin care malware-ul înlocuiește codul unui proces legitim cu propriul său cod. În campaniile QuirkyLoader, procesele preferate pentru injectare includ:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Această metodă permite malware-ului să se deghizeze în activitate legitimă, ceea ce face ca detectarea să fie mult mai dificilă.
Atacuri țintite în Taiwan și Mexic
QuirkyLoader a fost observat până acum în campanii mai mici și mai specifice. Două valuri notabile au fost înregistrate în iulie 2025:
Campania Taiwan : A vizat în mod special angajații Nusoft Taiwan, o companie de securitate cibernetică și rețele. Operațiunea a avut ca scop implementarea Snake Keylogger, conceput pentru a exfiltra datele browserului, apăsările de taste și conținutul clipboardului.
Campania din Mexic : Părea să fie mai nediscriminatorie, distribuind Remcos RAT și AsyncRAT fără modele clare de direcționare.
Caracteristicile tehnice ale încărcătorului
Actorul amenințător dezvoltă în mod constant modulul de încărcare DLL folosind limbaje .NET. Pentru a crește reziliența și ofuscarea, încărcătorul este compilat folosind compilarea în avans (AOT), producând fișiere binare care seamănă cu cele create în C sau C++. Acest lucru face ca malware-ul să fie mai dificil de analizat și detectat de către apărători.
Gânduri finale
QuirkyLoader este un exemplu clar al modului în care infractorii cibernetici continuă să își perfecționeze metodele de livrare pentru a maximiza ascunderea și eficiența. Prin combinarea încărcării laterale DLL, a golirii proceselor și a strategiilor de phishing direcționate, atacatorii nu numai că ocolesc apărările, dar își adaptează și campaniile pentru a maximiza impactul. Organizațiile ar trebui să rămână vigilente împotriva atașamentelor suspecte la e-mailuri și să implementeze apărări de securitate stratificate pentru a reduce expunerea la astfel de amenințări.
