Zlonamerna programska oprema QuirkyLoader
Raziskovalci kibernetske varnosti so odkrili nov nalagalnik zlonamerne programske opreme, znan kot QuirkyLoader, ki se od novembra 2024 aktivno uporablja v kampanjah neželene e-pošte. Njegova glavna vloga je dostavljanje širokega nabora zlonamernih koristnih vsebin, vključno s kradljivci informacij in trojanci za oddaljeni dostop (RAT).
Kazalo
Rastoči arzenal zlonamerne programske opreme
QuirkyLoader je bil povezan z distribucijo več odmevnih družin zlonamerne programske opreme, vključno z:
- Agent Tesla
- AsyncRAT
- Obrazec
- Masslogger
- Remcos RAT
- Radamantisov tat
- Snake Keylogger
Ta širok nabor orodij poudarja prilagodljivost nalagalnika in sposobnost akterja grožnje za izvajanje raznolikih kibernetskih napadov.
Zavajajoča dostava prek neželene e-pošte
Napadalci se za pošiljanje zlonamerne neželene pošte zanašajo tako na legitimne ponudnike e-poštnih storitev kot na samostojno gostovan e-poštni strežnik. Vsako e-poštno sporočilo običajno vsebuje arhivsko datoteko s tremi ključnimi komponentami:
- Zlonamerna datoteka DLL
- Šifriran koristni tovor
- Legitimna izvršljiva datoteka
Z nalaganjem DLL-jev napadalci izkoristijo dejstvo, da zagon legitimne izvedljive datoteke sproži tudi zlonamerno DLL-je. Ta DLL nato dešifrira in v ciljni proces vbrizga končni koristni nanos.
Izkoriščanje procesnega votljenja
Mehanizem vbrizgavanja vključuje votlo kodo procesa, tehniko, pri kateri zlonamerna programska oprema nadomesti kodo legitimnega procesa s svojo. V kampanjah QuirkyLoaderja so med priljubljenimi postopki za vbrizgavanje:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Ta metoda omogoča, da se zlonamerna programska oprema prikrije kot legitimna dejavnost, zaradi česar je njeno odkrivanje veliko težje.
Ciljani napadi na Tajvanu in v Mehiki
QuirkyLoader je bil doslej opažen v manjših, osredotočenih kampanjah. Julija 2025 sta bila zabeležena dva omembe vredna vala:
Tajvanska kampanja : Posebej usmerjena v zaposlene v podjetju Nusoft Taiwan, ki se ukvarja s kibernetsko in omrežno varnostjo. Cilj operacije je bil namestiti program Snake Keylogger, zasnovan za krajo podatkov brskalnika, pritiskov tipk in vsebine odložišča.
Mehiška kampanja : Zdelo se je, da je bila bolj neselektivna, saj je distribuirala Remcos RAT in AsyncRAT brez jasnih vzorcev ciljanja.
Tehnične značilnosti nakladalnika
Grožnjec dosledno razvija modul za nalaganje DLL z uporabo jezikov .NET. Za povečanje odpornosti in zakrivanja se nalagalnik prevede z uporabo prevajanja pred časom (AOT), kar ustvari binarne datoteke, ki so podobne tistim, ustvarjenim v C ali C++. Zaradi tega je zlonamerna programska oprema za branilce težje analizirati in odkriti.
Zaključne misli
QuirkyLoader je jasen primer, kako kibernetski kriminalci nenehno izpopolnjujejo svoje metode dostave, da bi povečali prikritost in učinkovitost. Z združevanjem stranskega nalaganja DLL, votline procesov in ciljno usmerjenih strategij lažnega predstavljanja napadalci ne le zaobidejo obrambo, temveč tudi prilagodijo svoje kampanje za povečanje učinka. Organizacije bi morale biti pozorne na sumljive priloge e-pošte in izvajati večplastno varnostno obrambo, da bi zmanjšale izpostavljenost takim grožnjam.
