Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware QuirkyLoader Malware

QuirkyLoader Malware

Nga MezoMalware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një ngarkues të ri të malware-it të njohur si QuirkyLoader, i cili është përdorur në mënyrë aktive në fushatat e email-eve të spamit që nga nëntori i vitit 2024. Roli i tij kryesor është të ofrojë një gamë të gjerë ngarkesash keqdashëse, duke përfshirë vjedhësit e informacionit dhe trojanë me akses në distancë (RAT).

Një arsenal në rritje i programeve keqdashëse

QuirkyLoader është lidhur me shpërndarjen e disa familjeve të programeve keqdashëse me profil të lartë, duke përfshirë:

  • Agjenti Tesla
  • AsyncRAT
  • Libri i formularëve
  • Masslogger
  • Remcos RAT
  • Vjedhësi i Rhadamanthys
  • Regjistruesi i tasteve Snake

Ky komplet i gjerë mjetesh nxjerr në pah përshtatshmërinë e ngarkuesit dhe aftësinë e aktorit kërcënues për të nisur sulme të ndryshme kibernetike.

Dërgim mashtrues përmes emaileve të padëshiruara

Sulmuesit mbështeten si te ofruesit legjitimë të shërbimeve të email-it ashtu edhe te një server email-i i vetë-strehuar për të shpërndarë spam keqdashës. Çdo email zakonisht përmban një skedar arkivi që përmban tre komponentë kritikë:

  • Një DLL keqdashëse
  • Një ngarkesë e enkriptuar
  • Një ekzekutues legjitim

Përmes ngarkimit anësor të DLL-së, sulmuesit shfrytëzojnë faktin se ekzekutimi i skedarit ekzekutues legjitim aktivizon gjithashtu DLL-në keqdashëse. Ky DLL më pas deshifron dhe injekton ngarkesën përfundimtare në procesin e tij të synuar.

Shfrytëzimi i Zbrazëtirës së Procesit

Mekanizmi i injektimit përfshin zbrazjen e procesit, një teknikë ku programet keqdashëse zëvendësojnë kodin e një procesi legjitim me të vetin. Në fushatat e QuirkyLoader, proceset e preferuara për injektim përfshijnë:

  • AddInProcess32.exe
  • InstallUtil.exe
  • aspnet_wp.exe

Kjo metodë i lejon programeve keqdashëse të maskohen si aktivitet legjitim, duke e bërë zbulimin shumë më sfidues.

Sulme të synuara në Tajvan dhe Meksikë

QuirkyLoader deri më tani është vërejtur në fushata më të vogla dhe të fokusuara. Dy valë të dukshme u regjistruan në korrik 2025:

Fushata në Tajvan : Synoi posaçërisht punonjësit e Nusoft Taiwan, një kompani e sigurisë kibernetike dhe të rrjetit. Operacioni synonte të vendoste në përdorim Snake Keylogger, i projektuar për të nxjerrë të dhënat e shfletuesit, shtypjet e tasteve dhe përmbajtjen e kujtesës së përkohshme.

Fushata në Meksikë : Duket se ishte më pak diskriminuese në natyrë, duke shpërndarë Remcos RAT dhe AsyncRAT pa modele të qarta synimi.

Karakteristikat Teknike të Ngarkuesit

Aktori kërcënues zhvillon vazhdimisht modulin e ngarkuesit të DLL duke përdorur gjuhët .NET. Për të rritur qëndrueshmërinë dhe bllokimin, ngarkuesi kompilohet duke përdorur kompilimin paraprak (AOT), duke prodhuar skedarë binare që ngjajnë me ato të krijuara në C ose C++. Kjo e bën malware-in më të vështirë për t'u analizuar dhe zbuluar nga mbrojtësit.

Mendime përfundimtare

QuirkyLoader është një shembull i qartë se si kriminelët kibernetikë vazhdojnë të përsosin metodat e tyre të shpërndarjes për të maksimizuar fshehtësinë dhe efikasitetin. Duke kombinuar ngarkimin anësor të DLL, zbrazjen e proceseve dhe strategjitë e synuara të phishing, sulmuesit jo vetëm që po anashkalojnë mbrojtjet, por edhe po i përshtatin fushatat e tyre për të maksimizuar ndikimin. Organizatat duhet të mbeten vigjilente ndaj bashkëngjitjeve të dyshimta të email-eve dhe të zbatojnë mbrojtje sigurie të shtresuara për të zvogëluar ekspozimin ndaj kërcënimeve të tilla.

Në trend

Më e shikuara

Po ngarkohet...