มัลแวร์ QuirkyLoader
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบโปรแกรมโหลดมัลแวร์ชนิดใหม่ที่เรียกว่า QuirkyLoader ซึ่งถูกใช้ในแคมเปญอีเมลขยะอย่างแข็งขันมาตั้งแต่เดือนพฤศจิกายน พ.ศ. 2567 โดยมีบทบาทหลักในการส่งมอบเพย์โหลดที่เป็นอันตรายหลากหลายประเภท รวมถึงโปรแกรมขโมยข้อมูลและโทรจันการเข้าถึงระยะไกล (RAT)
สารบัญ
คลังอาวุธมัลแวร์ที่กำลังเติบโต
QuirkyLoader เชื่อมโยงกับการแพร่กระจายของมัลแวร์ชื่อดังหลายตระกูล ได้แก่:
- ตัวแทนเทสลา
- อะซิงค์แรท
- แบบฟอร์มสมุด
- แมสล็อกเกอร์
- เรมคอส อาร์เอที
- ราดามันทิส สตีลเลอร์
- คีย์ล็อกเกอร์งู
ชุดเครื่องมือที่ครอบคลุมนี้เน้นย้ำถึงความสามารถในการปรับตัวของตัวโหลดและความสามารถของผู้ก่อภัยคุกคามในการเปิดฉากโจมตีทางไซเบอร์ในรูปแบบต่างๆ
การจัดส่งที่หลอกลวงผ่านอีเมลขยะ
ผู้โจมตีอาศัยทั้งผู้ให้บริการอีเมลที่ถูกต้องตามกฎหมายและเซิร์ฟเวอร์อีเมลที่โฮสต์ด้วยตนเองเพื่อส่งสแปมอันตราย โดยทั่วไปอีเมลแต่ละฉบับจะมีไฟล์เก็บถาวรที่มีส่วนประกอบสำคัญสามส่วน ได้แก่
- DLL ที่เป็นอันตราย
- เพย์โหลดที่เข้ารหัส
- ไฟล์ปฏิบัติการที่ถูกต้องตามกฎหมาย
การโจมตีผ่าน DLL side-loading ใช้ประโยชน์จากข้อเท็จจริงที่ว่าการรันไฟล์ปฏิบัติการที่ถูกต้องจะกระตุ้นให้เกิด DLL ที่เป็นอันตราย จากนั้น DLL นี้จะถอดรหัสและแทรกเพย์โหลดสุดท้ายลงในกระบวนการเป้าหมาย
การใช้ประโยชน์จากกระบวนการเจาะกลวง
กลไกการฉีดเกี่ยวข้องกับกระบวนการกลวง (Process Hollowing) ซึ่งเป็นเทคนิคที่มัลแวร์จะแทนที่โค้ดของกระบวนการที่ถูกต้องด้วยโค้ดของตัวเอง ในแคมเปญของ QuirkyLoader กระบวนการที่นิยมใช้ในการฉีดมีดังนี้:
- AddInProcess32.exe
- ติดตั้งยูทิลิตี้.exe
- aspnet_wp.exe
วิธีการนี้ทำให้สามารถปลอมตัวเป็นมัลแวร์โดยอ้างว่าเป็นกิจกรรมที่ถูกกฎหมาย ซึ่งทำให้การตรวจจับมีความท้าทายมากยิ่งขึ้น
การโจมตีแบบกำหนดเป้าหมายในไต้หวันและเม็กซิโก
จนถึงขณะนี้มีการตรวจพบ QuirkyLoader ในแคมเปญขนาดเล็กที่เจาะจงกลุ่มเป้าหมายมากขึ้น มีการบันทึกคลื่นลูกใหญ่ที่น่าสังเกตสองลูกในเดือนกรกฎาคม 2568:
แคมเปญไต้หวัน : มุ่งเป้าไปที่พนักงานของ Nusoft Taiwan ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์และเครือข่ายโดยเฉพาะ ปฏิบัติการนี้มีเป้าหมายเพื่อติดตั้ง Snake Keylogger ซึ่งออกแบบมาเพื่อขโมยข้อมูลเบราว์เซอร์ คีย์สโตรก และเนื้อหาในคลิปบอร์ด
แคมเปญเม็กซิโก : ดูเหมือนว่าจะไม่มีการเลือกปฏิบัติโดยธรรมชาติ โดยแจกจ่าย Remcos RAT และ AsyncRAT โดยไม่มีรูปแบบการกำหนดเป้าหมายที่ชัดเจน
ลักษณะทางเทคนิคของรถตัก
ผู้ก่อภัยคุกคามมักพัฒนาโมดูลตัวโหลด DLL โดยใช้ภาษา .NET อย่างสม่ำเสมอ เพื่อเพิ่มความยืดหยุ่นและความสับสน ตัวโหลดจะถูกคอมไพล์โดยใช้การคอมไพล์ล่วงหน้า (AOT) เพื่อสร้างไฟล์ไบนารีที่คล้ายกับไฟล์ที่สร้างใน C หรือ C++ ซึ่งทำให้ผู้ป้องกันวิเคราะห์และตรวจจับมัลแวร์ได้ยากขึ้น
ความคิดสุดท้าย
QuirkyLoader เป็นตัวอย่างที่ชัดเจนของการที่อาชญากรไซเบอร์ยังคงพัฒนาวิธีการส่งมัลแวร์อย่างต่อเนื่องเพื่อเพิ่มประสิทธิภาพและประสิทธิภาพสูงสุด ด้วยการผสมผสานกลยุทธ์ DLL side-loading, process hollowing และ targeted phishing ผู้โจมตีไม่เพียงแต่หลบเลี่ยงการป้องกันเท่านั้น แต่ยังปรับแต่งแคมเปญของตนเพื่อให้เกิดผลกระทบสูงสุดอีกด้วย องค์กรต่างๆ ควรเฝ้าระวังไฟล์แนบอีเมลที่น่าสงสัย และใช้ระบบป้องกันความปลอดภัยแบบหลายชั้นเพื่อลดความเสี่ยงจากภัยคุกคามดังกล่าว
