Rabattoffert för flera licenser
Hotdatabas Skadlig programvara QuirkyLoader-skadlig programvara

QuirkyLoader-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har upptäckt en ny skadlig programvara som kallas QuirkyLoader, som aktivt har använts i skräppostkampanjer sedan november 2024. Dess primära roll är att leverera en mängd olika skadliga nyttolaster, inklusive informationsstölder och fjärråtkomsttrojaner (RAT).

En växande arsenal av skadlig programvara

QuirkyLoader har kopplats till distributionen av flera uppmärksammade familjer av skadlig kod, inklusive:

  • Agent Tesla
  • AsyncRAT
  • Formulärbok
  • Masslogger
  • Remcos RAT
  • Rhadamanthys stjälare
  • Snake Keylogger

Denna breda verktygslåda belyser laddarens anpassningsförmåga och hotaktörens förmåga att lansera olika cyberattacker.

Bedräglig leverans via skräppostmejl

Angripare förlitar sig på både legitima e-postleverantörer och en egen e-postserver för att leverera skadlig skräppost. Varje e-postmeddelande innehåller vanligtvis en arkivfil som innehåller tre kritiska komponenter:

  • En skadlig DLL
  • En krypterad nyttolast
  • En legitim körbar enhet

Genom sidladdning av DLL utnyttjar angriparna det faktum att körning av den legitima körbara filen också utlöser den skadliga DLL-filen. Denna DLL dekrypterar sedan och injicerar den slutliga nyttolasten i sin målprocess.

Utnyttjande av processhålning

Injektionsmekanismen involverar processhollowing, en teknik där skadlig kod ersätter koden från en legitim process med sin egen. I QuirkyLoaders kampanjer inkluderar de föredragna processerna för injektion:

  • AddInProcess32.exe
  • InstallUtil.exe
  • aspnet_wp.exe

Den här metoden gör att skadlig kod kan utge sig för att vara legitim aktivitet, vilket gör upptäckten betydligt svårare.

Riktade attacker i Taiwan och Mexiko

QuirkyLoader har hittills observerats i mindre, fokuserade kampanjer. Två anmärkningsvärda vågor registrerades i juli 2025:

Taiwan-kampanjen : Specifikt riktad mot anställda på Nusoft Taiwan, ett cybersäkerhets- och nätverkssäkerhetsföretag. Operationen syftade till att driftsätta Snake Keylogger, utformad för att stjäla webbläsardata, tangenttryckningar och innehåll i urklipp.

Mexikokampanjen : Verkade vara mer urskillningslös till sin natur och distribuerade Remcos RAT och AsyncRAT utan tydliga inriktningsmönster.

Lastarens tekniska egenskaper

Hotaktören utvecklar konsekvent DLL-loadermodulen med hjälp av .NET-språk. För att öka motståndskraften och obfuskationen kompileras laddaren med hjälp av ahead-of-time (AOT)-kompilering, vilket producerar binärfiler som liknar de som skapats i C eller C++. Detta gör det svårare för försvarare att analysera och upptäcka skadlig programvara.

Slutliga tankar

QuirkyLoader är ett tydligt exempel på hur cyberbrottslingar fortsätter att förfina sina leveransmetoder för att maximera stealth och effektivitet. Genom att kombinera DLL-sidoladdning, processholowing och riktade phishing-strategier kringgår angripare inte bara försvar utan skräddarsyr också sina kampanjer för att maximera effekten. Organisationer bör vara vaksamma mot misstänkta e-postbilagor och implementera säkerhetsförsvar i flera lager för att minska exponeringen för sådana hot.

Trendigt

Mest sedda

Läser in...