Phần mềm độc hại QuirkyLoader
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một trình tải phần mềm độc hại mới có tên là QuirkyLoader, được sử dụng tích cực trong các chiến dịch email rác kể từ tháng 11 năm 2024. Vai trò chính của nó là phân phối nhiều loại phần mềm độc hại, bao gồm cả phần mềm đánh cắp thông tin và trojan truy cập từ xa (RAT).
Mục lục
Kho phần mềm độc hại ngày càng lớn
QuirkyLoader có liên quan đến việc phát tán một số nhóm phần mềm độc hại nổi tiếng, bao gồm:
- Đặc vụ Tesla
- AsyncRAT
- Sổ mẫu
- Masslogger
- Chuột Remcos
- Rhadamanthys Kẻ đánh cắp
- Snake Keylogger
Bộ công cụ rộng này làm nổi bật khả năng thích ứng của trình tải và khả năng của kẻ tấn công trong việc phát động nhiều cuộc tấn công mạng khác nhau.
Giao hàng lừa đảo qua email rác
Kẻ tấn công dựa vào cả nhà cung cấp dịch vụ email hợp pháp và máy chủ email tự lưu trữ để phát tán thư rác độc hại. Mỗi email thường chứa một tệp lưu trữ chứa ba thành phần quan trọng:
- Một DLL độc hại
- Một tải trọng được mã hóa
- Một tệp thực thi hợp pháp
Thông qua việc tải DLL bên ngoài, kẻ tấn công lợi dụng việc chạy tệp thực thi hợp lệ cũng kích hoạt DLL độc hại. DLL này sau đó giải mã và chèn payload cuối cùng vào tiến trình mục tiêu.
Khai thác quá trình rỗng
Cơ chế tiêm mã độc liên quan đến việc làm rỗng quy trình, một kỹ thuật trong đó phần mềm độc hại thay thế mã của một quy trình hợp lệ bằng mã của chính nó. Trong các chiến dịch của QuirkyLoader, các quy trình được ưu tiên tiêm mã độc bao gồm:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Phương pháp này cho phép phần mềm độc hại ngụy trang thành hoạt động hợp pháp, khiến việc phát hiện trở nên khó khăn hơn nhiều.
Các cuộc tấn công có mục tiêu ở Đài Loan và Mexico
QuirkyLoader cho đến nay đã được quan sát thấy trong các chiến dịch nhỏ hơn, tập trung hơn. Hai đợt tấn công đáng chú ý đã được ghi nhận vào tháng 7 năm 2025:
Chiến dịch Đài Loan : Đặc biệt nhắm vào nhân viên của Nusoft Đài Loan, một công ty an ninh mạng và bảo mật mạng. Chiến dịch này nhằm mục đích triển khai Snake Keylogger, được thiết kế để đánh cắp dữ liệu trình duyệt, thao tác phím và nội dung clipboard.
Chiến dịch Mexico : Có vẻ như có tính chất bừa bãi hơn, phân phối Remcos RAT và AsyncRAT mà không có mục tiêu rõ ràng.
Đặc điểm kỹ thuật của máy xúc lật
Tác nhân đe dọa liên tục phát triển mô-đun tải DLL bằng ngôn ngữ .NET. Để tăng khả năng phục hồi và che giấu, trình tải được biên dịch bằng phương pháp biên dịch trước thời hạn (AOT), tạo ra các tệp nhị phân tương tự như các tệp được tạo bằng C hoặc C++. Điều này khiến các biện pháp phòng thủ khó phân tích và phát hiện phần mềm độc hại hơn.
Suy nghĩ cuối cùng
QuirkyLoader là một ví dụ điển hình về cách tội phạm mạng tiếp tục tinh chỉnh các phương thức phát tán để tối đa hóa khả năng ẩn núp và hiệu quả. Bằng cách kết hợp các chiến lược tải DLL, chèn mã độc vào quy trình và lừa đảo có chủ đích, kẻ tấn công không chỉ vượt qua được các biện pháp phòng thủ mà còn điều chỉnh các chiến dịch của chúng để tối đa hóa tác động. Các tổ chức nên luôn cảnh giác với các tệp đính kèm email đáng ngờ và triển khai các biện pháp bảo mật nhiều lớp để giảm thiểu nguy cơ bị tấn công.
