Шкідливе програмне забезпечення QuirkyLoader
Дослідники з кібербезпеки виявили новий завантажувач шкідливого програмного забезпечення під назвою QuirkyLoader, який активно використовується в кампаніях спам-розсилки з листопада 2024 року. Його основна роль полягає в доставці широкого спектру шкідливих корисних даних, включаючи викрадачів інформації та троянів віддаленого доступу (RAT).
Зміст
Зростаючий арсенал шкідливого програмного забезпечення
QuirkyLoader пов'язують із розповсюдженням кількох відомих сімейств шкідливих програм, зокрема:
- Агент Тесла
- AsyncRAT
- Книга форм
- Маслогер
- Remcos RAT
- Викрадач Радамантіс
- Змія-кейлоггер
Цей широкий інструментарій підкреслює адаптивність завантажувача та здатність зловмисника здійснювати різноманітні кібератак.
Оманлива доставка через спам-листи
Зловмисники покладаються як на легітимних постачальників послуг електронної пошти, так і на власний поштовий сервер для доставки шкідливого спаму. Кожен електронний лист зазвичай містить архівний файл, що містить три критичні компоненти:
- Шкідлива DLL-бібліотека
- Зашифроване корисне навантаження
- Легітимний виконуваний файл
За допомогою стороннього завантаження DLL зловмисники використовують той факт, що запуск легітимного виконуваного файлу також запускає шкідливу DLL. Ця DLL потім розшифровує та вставляє кінцеве корисне навантаження в цільовий процес.
Використання процесу пустотіння
Механізм ін'єкції включає в себе «порожниння» процесів – техніку, за якої шкідливе програмне забезпечення замінює код легітимного процесу своїм власним. У кампаніях QuirkyLoader до переважних процесів ін'єкції належать:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Цей метод дозволяє шкідливому програмному забезпеченню маскуватися під легітимну діяльність, що значно ускладнює його виявлення.
Цілеспрямовані атаки на Тайвані та в Мексиці
QuirkyLoader досі спостерігався в менших, цілеспрямованих кампаніях. У липні 2025 року було зафіксовано дві помітні хвилі:
Тайванська кампанія : цілеспрямована атака була спрямована на співробітників Nusoft Taiwan, компанії з кібербезпеки та мережевої безпеки. Метою операції було розгортання кейлоггера Snake, призначеного для крадіжки даних браузера, натискань клавіш та вмісту буфера обміну.
Кампанія в Мексиці : мала більш невибірковий характер, розповсюджуючи Remcos RAT та AsyncRAT без чітких шаблонів таргетування.
Технічні характеристики навантажувача
Зловмисник послідовно розробляє модуль завантажувача DLL, використовуючи мови програмування .NET. Для підвищення стійкості та обфускації завантажувач компілюється за допомогою компіляції заздалегідь (AOT), створюючи бінарні файли, схожі на ті, що створені на C або C++. Це ускладнює аналіз та виявлення шкідливого програмного забезпечення для захисників.
Заключні думки
QuirkyLoader — яскравий приклад того, як кіберзлочинці продовжують удосконалювати свої методи доставки, щоб максимізувати прихованість та ефективність. Поєднуючи завантаження DLL, вилучення процесів та цілеспрямовані фішингові стратегії, зловмисники не лише обходять захист, але й адаптують свої кампанії для максимального впливу. Організаціям слід пильно стежити за підозрілими вкладеннями електронної пошти та впроваджувати багаторівневі засоби захисту, щоб зменшити вплив таких загроз.
