QuirkyLoader Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong malware loader na kilala bilang QuirkyLoader, na aktibong ginagamit sa mga spam email campaign mula noong Nobyembre 2024. Ang pangunahing tungkulin nito ay maghatid ng malawak na hanay ng mga nakakahamak na payload, kabilang ang mga nagnanakaw ng impormasyon at remote access trojans (RATs).

Isang Lumalagong Arsenal ng Malware

Ang QuirkyLoader ay na-link sa pamamahagi ng ilang high-profile na pamilya ng malware, kabilang ang:

• Ahente Tesla
• AsyncRAT
• Formbook
• Masslogger
• Remcos DAGA
• Rhadamanthys Stealer
• Snake Keylogger

Itinatampok ng malawak na toolkit na ito ang kakayahang umangkop ng loader at ang kakayahan ng banta ng aktor na maglunsad ng magkakaibang cyberattacks.

Mapanlinlang na Paghahatid sa Pamamagitan ng Spam Email

Ang mga umaatake ay umaasa sa parehong mga lehitimong email service provider at isang self-hosted na email server upang maghatid ng malisyosong spam. Ang bawat email ay karaniwang naglalaman ng isang archive file na may hawak na tatlong mahahalagang bahagi:

• Isang malisyosong DLL
• Isang naka-encrypt na payload
• Isang lehitimong executable

Sa pamamagitan ng DLL side-loading, sinasamantala ng mga umaatake ang katotohanan na ang pagpapatakbo ng lehitimong executable ay nagti-trigger din ng malisyosong DLL. Ang DLL na ito ay nagde-decrypt at nag-inject ng huling payload sa target na proseso nito.

Pagsasamantala sa Proseso ng Hollowing

Ang mekanismo ng pag-iniksyon ay nagsasangkot ng proseso ng hollowing, isang pamamaraan kung saan pinapalitan ng malware ang code ng isang lehitimong proseso ng sarili nitong. Sa mga kampanya ng QuirkyLoader, ang mga pinapaboran na proseso para sa pag-iniksyon ay kinabibilangan ng:

• AddInProcess32.exe
• InstallUtil.exe
• aspnet_wp.exe

Ang pamamaraang ito ay nagpapahintulot sa malware na magpanggap bilang lehitimong aktibidad, na ginagawang mas mahirap ang pagtuklas.

Mga Target na Pag-atake sa Taiwan at Mexico

Sa ngayon, ang QuirkyLoader ay naobserbahan sa mas maliliit, nakatuong kampanya. Dalawang kapansin-pansing alon ang naitala noong Hulyo 2025:

Taiwan Campaign : Partikular na naka-target na mga empleyado ng Nusoft Taiwan, isang cybersecurity at network security company. Ang operasyon ay naglalayong i-deploy ang Snake Keylogger, na idinisenyo upang i-exfiltrate ang data ng browser, mga keystroke, at mga nilalaman ng clipboard.

Mexico Campaign : Lumilitaw na mas walang pinipili sa kalikasan, na namamahagi ng Remcos RAT at AsyncRAT nang walang malinaw na mga pattern sa pag-target.

Mga Teknikal na Katangian ng Loader

Patuloy na binubuo ng threat actor ang DLL loader module gamit ang .NET na mga wika. Upang pataasin ang katatagan at obfuscation, ang loader ay pinagsama-sama gamit ang ahead-of-time (AOT) compilation, na gumagawa ng mga binary na katulad ng ginawa sa C o C++. Ginagawa nitong mas mahirap ang malware para sa mga tagapagtanggol na suriin at matukoy.

Pangwakas na Kaisipan

Ang QuirkyLoader ay isang malinaw na halimbawa ng kung paano patuloy na pinipino ng mga cybercriminal ang kanilang mga paraan ng paghahatid upang i-maximize ang stealth at kahusayan. Sa pamamagitan ng pagsasama-sama ng DLL side-loading, process hollowing, at naka-target na mga diskarte sa phishing, hindi lang nilalampasan ng mga attacker ang mga depensa kundi iniangkop din ang kanilang mga campaign para ma-maximize ang epekto. Dapat manatiling mapagbantay ang mga organisasyon laban sa mga kahina-hinalang email attachment at magpatupad ng mga layered na panseguridad na panlaban upang mabawasan ang pagkakalantad sa mga naturang banta.