Вредоносное ПО QuirkyLoader

Исследователи кибербезопасности обнаружили новый загрузчик вредоносного ПО, известный как QuirkyLoader, который активно используется в спам-рассылках с ноября 2024 года. Его основная роль заключается в доставке широкого спектра вредоносных данных, включая программы для кражи информации и трояны удаленного доступа (RAT).

Растущий арсенал вредоносных программ

QuirkyLoader был связан с распространением нескольких известных семейств вредоносных программ, включая:

• Агент Тесла
• Асинхронный RAT
• Бланкбук
• Масслоггер
• Ремкос РАТ
• Радамантис-похититель
• Кейлоггер Snake

Этот широкий набор инструментов подчеркивает адаптивность загрузчика и способность злоумышленников запускать разнообразные кибератаки.

Обманная доставка через спам-письма

Злоумышленники используют как легитимных почтовых сервисов, так и собственные почтовые серверы для рассылки вредоносного спама. Каждое письмо обычно содержит архивный файл, содержащий три важных компонента:

• Вредоносная DLL-библиотека
• Зашифрованная полезная нагрузка
• Законный исполняемый файл

Используя сторонний DLL-файл, злоумышленники используют тот факт, что запуск легитимного исполняемого файла также запускает вредоносный DLL-файл. Этот DLL-файл затем расшифровывает и внедряет финальную полезную нагрузку в целевой процесс.

Эксплуатация процесса выдалбливания

Механизм внедрения основан на подмене кода процесса — методе, при котором вредоносное ПО заменяет код легитимного процесса своим собственным. В кампаниях QuirkyLoader наиболее часто внедряются следующие процессы:

• AddInProcess32.exe
• InstallUtil.exe
• aspnet_wp.exe

Этот метод позволяет вредоносному ПО маскироваться под легитимную деятельность, что значительно усложняет его обнаружение.

Целенаправленные атаки на Тайване и в Мексике

QuirkyLoader пока наблюдался в небольших, узконаправленных кампаниях. Две заметные волны были зафиксированы в июле 2025 года:

Тайваньская кампания : целенаправленно атаковала сотрудников компании Nusoft Taiwan, занимающейся кибербезопасностью и сетевой безопасностью. Целью операции было внедрение кейлоггера Snake Keylogger, предназначенного для кражи данных браузера, нажатий клавиш и содержимого буфера обмена.

Кампания в Мексике : по-видимому, носила более неизбирательный характер, распространяя Remcos RAT и AsyncRAT без четких схем нацеливания.

Технические характеристики погрузчика

Злоумышленник постоянно разрабатывает модуль загрузчика DLL, используя языки программирования .NET. Для повышения устойчивости и обфускации загрузчик компилируется с помощью предварительной компиляции (AOT), что приводит к созданию двоичных файлов, похожих на те, что созданы на C или C++. Это затрудняет анализ и обнаружение вредоносного ПО специалистами по безопасности.

Заключительные мысли

QuirkyLoader — наглядный пример того, как киберпреступники продолжают совершенствовать свои методы доставки, чтобы максимально повысить скрытность и эффективность. Сочетая стратегии сторонней загрузки DLL, подмены процессов и целевого фишинга, злоумышленники не только обходят средства защиты, но и адаптируют свои кампании для максимального эффекта. Организациям следует проявлять бдительность в отношении подозрительных вложений в электронные письма и внедрять многоуровневые средства защиты, чтобы снизить подверженность таким угрозам.