క్విర్కీలోడర్ మాల్వేర్
సైబర్ సెక్యూరిటీ పరిశోధకులు క్విర్కీలోడర్ అని పిలువబడే కొత్త మాల్వేర్ లోడర్ను కనుగొన్నారు, ఇది నవంబర్ 2024 నుండి స్పామ్ ఇమెయిల్ ప్రచారాలలో చురుగ్గా ఉపయోగించబడుతోంది. సమాచార దొంగలు మరియు రిమోట్ యాక్సెస్ ట్రోజన్లు (RATలు) సహా విస్తృత శ్రేణి హానికరమైన పేలోడ్లను అందించడం దీని ప్రాథమిక పాత్ర.
విషయ సూచిక
పెరుగుతున్న మాల్వేర్ ఆర్సెనల్
QuirkyLoader అనేక హై-ప్రొఫైల్ మాల్వేర్ కుటుంబాల పంపిణీకి లింక్ చేయబడింది, వాటిలో:
- ఏజెంట్ టెస్లా
- అసమకాలిక
- ఫారమ్బుక్
- మాస్లాగర్
- రెమ్కోస్ RAT
- రాడమంతిస్ స్టీలర్
- పాము కీలాగర్
ఈ విస్తృత టూల్కిట్ లోడర్ యొక్క అనుకూలతను మరియు విభిన్న సైబర్ దాడులను ప్రారంభించే ముప్పు నిరోధకుడి సామర్థ్యాన్ని హైలైట్ చేస్తుంది.
స్పామ్ ఇమెయిల్ల ద్వారా మోసపూరిత డెలివరీ
దాడి చేసేవారు హానికరమైన స్పామ్ను అందించడానికి చట్టబద్ధమైన ఇమెయిల్ సర్వీస్ ప్రొవైడర్లు మరియు స్వీయ-హోస్ట్ చేసిన ఇమెయిల్ సర్వర్ రెండింటిపై ఆధారపడుతున్నారు. ప్రతి ఇమెయిల్ సాధారణంగా మూడు కీలకమైన భాగాలను కలిగి ఉన్న ఆర్కైవ్ ఫైల్ను కలిగి ఉంటుంది:
- హానికరమైన DLL
- ఎన్క్రిప్ట్ చేయబడిన పేలోడ్
- చట్టబద్ధమైన అమలు చేయగల
DLL సైడ్-లోడింగ్ ద్వారా, దాడి చేసేవారు చట్టబద్ధమైన ఎక్జిక్యూటబుల్ను అమలు చేయడం వల్ల హానికరమైన DLL కూడా ప్రేరేపిస్తుందనే వాస్తవాన్ని ఉపయోగించుకుంటారు. ఈ DLL తరువాత తుది పేలోడ్ను డీక్రిప్ట్ చేసి దాని లక్ష్య ప్రక్రియలోకి ఇంజెక్ట్ చేస్తుంది.
దోపిడీ ప్రక్రియ హాలోయింగ్
ఇంజెక్షన్ మెకానిజంలో ప్రాసెస్ హాలోయింగ్ ఉంటుంది, ఈ టెక్నిక్లో మాల్వేర్ ఒక చట్టబద్ధమైన ప్రక్రియ యొక్క కోడ్ను దాని స్వంత దానితో భర్తీ చేస్తుంది. QuirkyLoader ప్రచారాలలో, ఇంజెక్షన్ కోసం అనుకూలమైన ప్రక్రియలు:
- యాడ్ఇన్ ప్రాసెస్32.ఎక్స్
- Util.exe ని ఇన్స్టాల్ చేయండి
- aspnet_wp.exe ద్వారా
ఈ పద్ధతి మాల్వేర్ చట్టబద్ధమైన కార్యాచరణగా మారడానికి అనుమతిస్తుంది, దీని వలన గుర్తింపు చాలా సవాలుగా మారుతుంది.
తైవాన్ మరియు మెక్సికోలలో లక్ష్యంగా చేసుకున్న దాడులు
QuirkyLoader ఇప్పటివరకు చిన్న, కేంద్రీకృత ప్రచారాలలో గమనించబడింది. జూలై 2025లో రెండు ముఖ్యమైన తరంగాలు నమోదయ్యాయి:
తైవాన్ ప్రచారం : ప్రత్యేకంగా సైబర్ సెక్యూరిటీ మరియు నెట్వర్క్ సెక్యూరిటీ కంపెనీ అయిన నుసాఫ్ట్ తైవాన్ ఉద్యోగులను లక్ష్యంగా చేసుకుంది. బ్రౌజర్ డేటా, కీస్ట్రోక్లు మరియు క్లిప్బోర్డ్ కంటెంట్లను బయటకు తీయడానికి రూపొందించబడిన స్నేక్ కీలాగర్ను అమలు చేయడం ఈ ఆపరేషన్ లక్ష్యం.
మెక్సికో ప్రచారం : స్పష్టమైన లక్ష్య నమూనాలు లేకుండా రెమ్కోస్ RAT మరియు అసిన్క్రాట్లను పంపిణీ చేస్తూ, మరింత విచక్షణారహితంగా కనిపించింది.
లోడర్ యొక్క సాంకేతిక లక్షణాలు
బెదిరింపు నటుడు .NET భాషలను ఉపయోగించి DLL లోడర్ మాడ్యూల్ను స్థిరంగా అభివృద్ధి చేస్తాడు. స్థితిస్థాపకత మరియు అస్పష్టతను పెంచడానికి, లోడర్ ముందస్తు సమయం (AOT) సంకలనాన్ని ఉపయోగించి సంకలనం చేయబడుతుంది, C లేదా C++లో సృష్టించబడిన వాటిని పోలి ఉండే బైనరీలను ఉత్పత్తి చేస్తుంది. ఇది డిఫెండర్లకు మాల్వేర్ను విశ్లేషించడం మరియు గుర్తించడం మరింత కష్టతరం చేస్తుంది.
తుది ఆలోచనలు
సైబర్ నేరస్థులు స్టెల్త్ మరియు సామర్థ్యాన్ని పెంచడానికి వారి డెలివరీ పద్ధతులను ఎలా మెరుగుపరుస్తూనే ఉన్నారో QuirkyLoader ఒక స్పష్టమైన ఉదాహరణ. DLL సైడ్-లోడింగ్, ప్రాసెస్ హాలోయింగ్ మరియు టార్గెటెడ్ ఫిషింగ్ వ్యూహాలను కలపడం ద్వారా, దాడి చేసేవారు రక్షణలను దాటవేయడమే కాకుండా ప్రభావాన్ని పెంచడానికి వారి ప్రచారాలను కూడా రూపొందించుకుంటున్నారు. అనుమానాస్పద ఇమెయిల్ అటాచ్మెంట్ల పట్ల సంస్థలు అప్రమత్తంగా ఉండాలి మరియు అటువంటి బెదిరింపులకు గురికావడాన్ని తగ్గించడానికి లేయర్డ్ భద్రతా రక్షణలను అమలు చేయాలి.
