Škodlivý softvér QuirkyLoader
Výskumníci v oblasti kybernetickej bezpečnosti objavili nový zavádzač škodlivého softvéru známy ako QuirkyLoader, ktorý sa aktívne využíva v spamových e-mailových kampaniach od novembra 2024. Jeho primárnou úlohou je doručovať širokú škálu škodlivých dát vrátane kradcov informácií a trójskych koní pre vzdialený prístup (RAT).
Obsah
Rastúci arzenál škodlivého softvéru
QuirkyLoader bol spájaný s distribúciou niekoľkých známych rodín malvéru vrátane:
- Agent Tesla
- AsyncRAT
- Formulár
- Hromadný záznamník
- Remcos RAT
- Zlodej Rhadamanthys
- Snake Keylogger
Táto široká sada nástrojov zdôrazňuje prispôsobivosť nakladača a schopnosť aktéra hrozby spúšťať rôzne kybernetické útoky.
Klamlivé doručovanie prostredníctvom spamových e-mailov
Útočníci sa pri doručovaní škodlivého spamu spoliehajú na legitímnych poskytovateľov e-mailových služieb aj na samostatne hostovaný e-mailový server. Každý e-mail zvyčajne obsahuje archívny súbor s tromi kľúčovými komponentmi:
- Škodlivá knižnica DLL
- Šifrované užitočné zaťaženie
- Legitímny spustiteľný súbor
Prostredníctvom bočného načítavania DLL útočníci zneužívajú skutočnosť, že spustenie legitímneho spustiteľného súboru spúšťa aj škodlivú DLL. Táto DLL potom dešifruje a vloží finálny dátový súbor do cieľového procesu.
Využívanie vyprázdnenia procesov
Mechanizmus vstrekovania zahŕňa tzv. process hollowing, techniku, pri ktorej malvér nahradí kód legitímneho procesu svojím vlastným. V kampaniach QuirkyLoadera patria medzi obľúbené procesy vstrekovania:
- Súbor AddInProcess32.exe
- Súbor InstallUtil.exe
- aspnet_wp.exe
Táto metóda umožňuje škodlivému softvéru maskovať sa ako legitímna aktivita, čo značne sťažuje jeho detekciu.
Cielené útoky na Taiwane a v Mexiku
QuirkyLoader bol doteraz pozorovaný v menších, cielených kampaniach. V júli 2025 boli zaznamenané dve významné vlny:
Kampaň na Taiwane : Konkrétne zameraná na zamestnancov spoločnosti Nusoft Taiwan, ktorá sa zaoberá kybernetickou a sieťovou bezpečnosťou. Cieľom operácie bolo nasadiť keylogger Snake, ktorý bol navrhnutý na získavanie údajov z prehliadača, stlačení klávesov a obsahu schránky.
Kampaň v Mexiku : Zdá sa, že bola nerozlišujúca, distribuovala Remcos RAT a AsyncRAT bez jasných vzorcov zacielenia.
Technické charakteristiky nakladača
Útočník dôsledne vyvíja modul zavádzača DLL pomocou jazykov .NET. Pre zvýšenie odolnosti a zatemnenia je zavádzač kompilovaný pomocou kompilácie ahead-of-time (AOT), čím vznikajú binárne súbory podobné súborom vytvoreným v jazyku C alebo C++. To sťažuje analýzu a detekciu malvéru pre obrancov.
Záverečné myšlienky
QuirkyLoader je jasným príkladom toho, ako kyberzločinci neustále zdokonaľujú svoje metódy doručovania, aby maximalizovali utajenie a efektivitu. Kombináciou bočného načítavania DLL, vymazávania procesov a cielených phishingových stratégií útočníci nielen obchádzajú obranu, ale aj prispôsobujú svoje kampane tak, aby maximalizovali dopad. Organizácie by mali zostať ostražití voči podozrivým e-mailovým prílohám a implementovať viacvrstvové bezpečnostné opatrenia, aby znížili vystavenie sa takýmto hrozbám.
