QuirkyLoader தீம்பொருள்
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், நவம்பர் 2024 முதல் ஸ்பேம் மின்னஞ்சல் பிரச்சாரங்களில் தீவிரமாகப் பயன்படுத்தப்படும் QuirkyLoader எனப்படும் புதிய மால்வேர் லோடரைக் கண்டுபிடித்துள்ளனர். தகவல் திருடர்கள் மற்றும் ரிமோட் அக்சஸ் ட்ரோஜான்கள் (RATகள்) உட்பட பல்வேறு வகையான தீங்கிழைக்கும் பேலோடுகளை வழங்குவதே இதன் முதன்மைப் பணியாகும்.
பொருளடக்கம்
வளர்ந்து வரும் மால்வேர் களஞ்சியம்
QuirkyLoader பல உயர்நிலை தீம்பொருள் குடும்பங்களின் பரவலுடன் இணைக்கப்பட்டுள்ளது, அவற்றுள்:
- முகவர் டெஸ்லா
- ஒத்திசைவற்றது
- படிவப்புத்தகம்
- மாஸ்லாக்கர்
- ரெம்கோஸ் எலி
- ராடமந்திஸ் திருடர்
- பாம்பு கீலாக்கர்
இந்த பரந்த கருவித்தொகுப்பு, ஏற்றியின் தகவமைப்புத் திறனையும், பல்வேறு சைபர் தாக்குதல்களைத் தொடங்க அச்சுறுத்தல் நடிகரின் திறனையும் எடுத்துக்காட்டுகிறது.
ஸ்பேம் மின்னஞ்சல்கள் மூலம் ஏமாற்றும் டெலிவரி
தீங்கிழைக்கும் ஸ்பேமை வழங்குவதற்கு, தாக்குபவர்கள் முறையான மின்னஞ்சல் சேவை வழங்குநர்கள் மற்றும் சுயமாக ஹோஸ்ட் செய்யப்பட்ட மின்னஞ்சல் சேவையகம் இரண்டையும் நம்பியுள்ளனர். ஒவ்வொரு மின்னஞ்சலும் பொதுவாக மூன்று முக்கியமான கூறுகளைக் கொண்ட ஒரு காப்பகக் கோப்பைக் கொண்டிருக்கும்:
- ஒரு தீங்கிழைக்கும் DLL
- ஒரு மறைகுறியாக்கப்பட்ட பேலோட்
- ஒரு சட்டப்பூர்வமான செயல்படுத்தக்கூடிய கோப்பு
DLL பக்க ஏற்றுதல் மூலம், முறையான இயங்கக்கூடியதை இயக்குவது தீங்கிழைக்கும் DLL ஐத் தூண்டுகிறது என்ற உண்மையைத் தாக்குபவர்கள் பயன்படுத்திக் கொள்கிறார்கள். இந்த DLL பின்னர் இறுதி பேலோடை டிக்ரிப்ட் செய்து அதன் இலக்கு செயல்பாட்டில் செலுத்துகிறது.
சுரண்டல் செயல்முறை குழிவு
உட்செலுத்துதல் பொறிமுறையானது செயல்முறை குழிவுறுதலை உள்ளடக்கியது, இது ஒரு முறையான செயல்முறையின் குறியீட்டை தீம்பொருள் அதன் சொந்தக் குறியீட்டால் மாற்றும் ஒரு நுட்பமாகும். QuirkyLoader இன் பிரச்சாரங்களில், உட்செலுத்தலுக்கான விருப்பமான செயல்முறைகள் பின்வருமாறு:
- AddInProcess32.exe ஐப் பயன்படுத்தவும்.
- நிறுவுடில்.எக்ஸ்
- aspnet_wp.exe க்கு இணைய இணைப்பு தேவை.
இந்த முறை தீம்பொருளை சட்டபூர்வமான செயல்பாடாக மாறுவேடமிட அனுமதிக்கிறது, இதனால் கண்டறிதல் மிகவும் சவாலானது.
தைவான் மற்றும் மெக்சிகோவில் குறிவைக்கப்பட்ட தாக்குதல்கள்
QuirkyLoader இதுவரை சிறிய, கவனம் செலுத்திய பிரச்சாரங்களில் காணப்பட்டது. ஜூலை 2025 இல் இரண்டு குறிப்பிடத்தக்க அலைகள் பதிவு செய்யப்பட்டன:
தைவான் பிரச்சாரம் : குறிப்பாக சைபர் பாதுகாப்பு மற்றும் நெட்வொர்க் பாதுகாப்பு நிறுவனமான நுசாஃப்ட் தைவானின் ஊழியர்களை குறிவைத்தது. இந்த நடவடிக்கை உலாவி தரவு, விசை அழுத்தங்கள் மற்றும் கிளிப்போர்டு உள்ளடக்கங்களை வெளியேற்ற வடிவமைக்கப்பட்ட ஸ்னேக் கீலாக்கரைப் பயன்படுத்துவதை நோக்கமாகக் கொண்டது.
மெக்ஸிகோ பிரச்சாரம் : தெளிவான இலக்கு முறைகள் இல்லாமல் ரெம்கோஸ் RAT மற்றும் அசின்க்ராட்டை விநியோகித்து, இயற்கையில் மிகவும் பாகுபாடற்றதாகத் தோன்றியது.
ஏற்றியின் தொழில்நுட்ப பண்புகள்
அச்சுறுத்தல் நடிகர் தொடர்ந்து .NET மொழிகளைப் பயன்படுத்தி DLL ஏற்றி தொகுதியை உருவாக்குகிறார். மீள்தன்மை மற்றும் தெளிவின்மையை அதிகரிக்க, ஏற்றி முன்கூட்டியே (AOT) தொகுப்பைப் பயன்படுத்தி தொகுக்கப்படுகிறது, இது C அல்லது C++ இல் உருவாக்கப்பட்டதைப் போன்ற பைனரிகளை உருவாக்குகிறது. இது தீம்பொருளைப் பாதுகாவலர்கள் பகுப்பாய்வு செய்து கண்டறிவதை மிகவும் கடினமாக்குகிறது.
இறுதி எண்ணங்கள்
சைபர் குற்றவாளிகள் தங்கள் டெலிவரி முறைகளை எவ்வாறு தொடர்ந்து செம்மைப்படுத்தி திருட்டுத்தனத்தையும் செயல்திறனையும் அதிகரிக்கிறார்கள் என்பதற்கு QuirkyLoader ஒரு தெளிவான எடுத்துக்காட்டு. DLL பக்க ஏற்றுதல், செயல்முறை ஹாலோயிங் மற்றும் இலக்கு வைக்கப்பட்ட ஃபிஷிங் உத்திகளை இணைப்பதன் மூலம், தாக்குபவர்கள் பாதுகாப்புகளைத் தவிர்ப்பது மட்டுமல்லாமல், தாக்கத்தை அதிகரிக்கும் வகையில் தங்கள் பிரச்சாரங்களையும் வடிவமைக்கின்றனர். சந்தேகத்திற்கிடமான மின்னஞ்சல் இணைப்புகளுக்கு எதிராக நிறுவனங்கள் விழிப்புடன் இருக்க வேண்டும் மற்றும் அத்தகைய அச்சுறுத்தல்களுக்கு ஆளாகாமல் இருக்க அடுக்கு பாதுகாப்பு பாதுகாப்புகளை செயல்படுத்த வேண்டும்.
