Злонамерни софтвер QuirkyLoader
Истраживачи сајбер безбедности открили су нови програм за учитавање злонамерног софтвера познат као QuirkyLoader, који се активно користи у кампањама спам е-поште од новембра 2024. Његова примарна улога је испорука широког спектра злонамерних корисних садржаја, укључујући крадљивце информација и тројанце за удаљени приступ (RAT).
Преглед садржаја
Растући арсенал злонамерног софтвера
QuirkyLoader је повезан са дистрибуцијом неколико познатих породица злонамерних програма, укључујући:
- Агент Тесла
- AsyncRAT
- Књига образаца
- Маслогер
- Ремкос РАТ
- Крадљивац Радамантиса
- Змијски кејлогер
Овај широки скуп алата истиче прилагодљивост учитавача и способност претње да покрене разноврсне сајбер нападе.
Обмањујућа достава путем спам имејлова
Нападачи се ослањају и на легитимне добављаче услуга е-поште и на самостално хостовани сервер е-поште како би испоручили злонамерну нежељену пошту. Свака е-пошта обично садржи архивску датотеку која садржи три кључне компоненте:
- Злонамерна DLL датотека
- Шифровани корисни садржај
- Легитиман извршни фајл
Бочним учитавањем DLL-а, нападачи искоришћавају чињеницу да покретање легитимног извршног DLL-а такође покреће злонамерни DLL. Овај DLL затим дешифрује и убризгава коначни корисни терет у свој циљни процес.
Искоришћавање испражњења процеса
Механизам убризгавања укључује „шупљење“ процеса, технику у којој злонамерни софтвер замењује код легитимног процеса својим сопственим. У кампањама компаније QuirkyLoader, омиљени процеси за убризгавање укључују:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Ова метода омогућава злонамерном софтверу да се маскира као легитимна активност, што откривање чини много тежим.
Циљани напади у Тајвану и Мексику
QuirkyLoader је до сада примећен у мањим, фокусираним кампањама. Два значајна таласа су забележена у јулу 2025. године:
Тајванска кампања : Посебно усмерена на запослене у компанији Nusoft Taiwan, која се бави сајбер безбедношћу и мрежном безбедношћу. Циљ операције је био да се примени Snake Keylogger, дизајниран за крађу података прегледача, откуцаја тастера и садржаја међуспремника.
Кампања у Мексику : Деловала је неселективније, дистрибуирајући Remcos RAT и AsyncRAT без јасних образаца циљања.
Техничке карактеристике утоваривача
Претња доследно развија DLL модул за учитавање користећи .NET језике. Да би се повећала отпорност и замагљивање, програм за учитавање се компајлира коришћењем компилације унапред (AOT), производећи бинарне датотеке које подсећају на оне креиране у C или C++. Због тога је заштићеницима теже анализирати и открити злонамерни софтвер.
Завршне мисли
QuirkyLoader је јасан пример како сајбер криминалци настављају да усавршавају своје методе испоруке како би максимизирали прикривеност и ефикасност. Комбиновањем бочног учитавања DLL-ова, искоришћавања процеса и циљаних фишинг стратегија, нападачи не само да заобилазе одбрану већ и прилагођавају своје кампање како би максимизирали утицај. Организације би требало да остану опрезне према сумњивим прилозима е-поште и да имплементирају слојевите безбедносне одбрамбене мере како би смањиле изложеност таквим претњама.
