QuirkyLoader Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, Kasım 2024'ten bu yana spam e-posta kampanyalarında aktif olarak kullanılan QuirkyLoader adlı yeni bir kötü amaçlı yazılım yükleyicisini ortaya çıkardı. Birincil rolü, bilgi hırsızları ve uzaktan erişim truva atları (RAT'ler) dahil olmak üzere çok çeşitli kötü amaçlı yazılım yüklerini iletmektir.
İçindekiler
Giderek Artan Bir Kötü Amaçlı Yazılım Cephaneliği
QuirkyLoader'ın, aşağıdakiler de dahil olmak üzere birçok yüksek profilli kötü amaçlı yazılım ailesinin dağıtımıyla bağlantılı olduğu tespit edildi:
- Ajan Tesla
- AsenkronRAT
- Form defteri
- Kitle kaydedici
- Remcos RAT
- Rhadamanthys Hırsızı
- Yılan Tuş Kaydedici
Bu geniş araç seti, yükleyicinin uyarlanabilirliğini ve tehdit aktörünün çeşitli siber saldırılar başlatma yeteneğini vurgular.
Spam E-postalar Aracılığıyla Aldatıcı Teslimat
Saldırganlar, kötü amaçlı spam göndermek için hem meşru e-posta servis sağlayıcılarına hem de kendi barındırdıkları bir e-posta sunucusuna güveniyor. Her e-posta genellikle üç kritik bileşeni içeren bir arşiv dosyası içerir:
- Kötü amaçlı bir DLL
- Şifrelenmiş bir yük
- Meşru bir yürütülebilir dosya
Saldırganlar, DLL yan yüklemesi yoluyla, meşru yürütülebilir dosyayı çalıştırmanın aynı zamanda kötü amaçlı DLL'yi de tetiklemesinden yararlanır. Bu DLL daha sonra şifresini çözer ve son yükü hedef işlemine enjekte eder.
Sömürü Süreci Boşaltma
Enjeksiyon mekanizması, kötü amaçlı yazılımların meşru bir işlemin kodunu kendi koduyla değiştirdiği bir teknik olan işlem boşaltmayı içerir. QuirkyLoader kampanyalarında, enjeksiyon için tercih edilen işlemler şunlardır:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Bu yöntem, kötü amaçlı yazılımın meşru bir etkinlik gibi görünmesine olanak tanır ve bu da tespit edilmesini çok daha zor hale getirir.
Tayvan ve Meksika’daki Hedefli Saldırılar
QuirkyLoader şimdiye kadar daha küçük ve odaklanmış kampanyalarda gözlemlendi. Temmuz 2025'te iki önemli dalga kaydedildi:
Tayvan Operasyonu : Siber güvenlik ve ağ güvenliği şirketi Nusoft Taiwan'ın çalışanlarını hedef aldı. Operasyon, tarayıcı verilerini, tuş vuruşlarını ve pano içeriklerini sızdırmak için tasarlanmış Snake Keylogger'ı kullanmayı amaçlıyordu.
Meksika Kampanyası : Remco'nun RAT ve AsyncRAT'ını net hedefleme kalıpları olmadan dağıtarak doğası gereği daha ayrımcı görünüyor.
Yükleyicinin Teknik Özellikleri
Tehdit aktörü, DLL yükleyici modülünü sürekli olarak .NET dillerini kullanarak geliştirir. Dayanıklılığı ve gizlemeyi artırmak için yükleyici, önceden derlenmiş (AOT) derleme yöntemi kullanılarak derlenir ve C veya C++ ile oluşturulanlara benzeyen ikili dosyalar üretir. Bu, kötü amaçlı yazılımın savunmacılar tarafından analiz edilmesini ve tespit edilmesini zorlaştırır.
Son Düşünceler
QuirkyLoader, siber suçluların gizliliği ve verimliliği en üst düzeye çıkarmak için teslimat yöntemlerini nasıl geliştirmeye devam ettiklerinin açık bir örneğidir. DLL yan yükleme, işlem boşaltma ve hedefli kimlik avı stratejilerini bir araya getiren saldırganlar, yalnızca savunmaları aşmakla kalmıyor, aynı zamanda kampanyalarını etkiyi en üst düzeye çıkaracak şekilde uyarlıyorlar. Kuruluşlar, şüpheli e-posta eklerine karşı tetikte olmalı ve bu tür tehditlere maruz kalmayı azaltmak için katmanlı güvenlik savunmaları uygulamalıdır.
