QuirkyLoader 恶意软件

网络安全研究人员发现了一种名为 QuirkyLoader 的新型恶意软件加载程序，该加载程序自 2024 年 11 月以来一直活跃于垃圾邮件活动中。其主要作用是传播各种恶意负载，包括信息窃取程序和远程访问木马 (RAT)。

恶意软件库日益壮大

QuirkyLoader 与多个备受关注的恶意软件家族的传播有关，其中包括：

• 特工特斯拉
• 异步RAT
• 表格簿
• 质量记录器
• Remcos RAT
• 拉达曼迪斯窃贼
• Snake键盘记录器

这个广泛的工具包凸显了加载器的适应性和威胁行为者发动各种网络攻击的能力。

通过垃圾邮件进行欺骗性投递

攻击者依靠合法的电子邮件服务提供商和自托管的电子邮件服务器来发送恶意垃圾邮件。每封电子邮件通常包含一个存档文件，其中包含三个关键组件：

• 恶意 DLL
• 加密的有效载荷
• 合法的可执行文件

通过 DLL 侧载，攻击者利用了合法可执行文件的运行也会触发恶意 DLL 的原理。恶意 DLL 随后解密并将最终的有效载荷注入目标进程。

利用 Process Hollowing

注入机制涉及进程挖空（Process Hollowing），这是一种恶意软件用自身代码替换合法进程代码的技术。在QuirkyLoader的攻击活动中，常用的注入进程包括：

• 加载项进程32
• 安装实用程序
• aspnet_wp.exe

这种方法允许恶意软件伪装成合法活动，使检测变得更具挑战性。

台湾和墨西哥的针对性攻击

到目前为止，QuirkyLoader 已在规模较小、针对性较强的活动中被发现。2025 年 7 月记录了两波值得注意的攻击：

台湾行动：该行动专门针对网络安全公司新软台湾的员工。此次行动旨在部署 Snake 键盘记录器，用于窃取浏览器数据、键盘输入和剪贴板内容。

墨西哥行动：其性质似乎更加不加区分，在没有明确目标模式的情况下分发 Remcos RAT 和 AsyncRAT。

装载机的技术特点

威胁行为者始终使用 .NET 语言开发 DLL 加载器模块。为了增强抵御能力和混淆能力，加载器采用预先 (AOT) 编译技术进行编译，生成的二进制文件类似于用 C 或 C++ 编写的二进制文件。这使得防御者更难以分析和检测该恶意软件。

最后的想法

QuirkyLoader 是一个典型案例，充分展现了网络犯罪分子如何不断改进其传播手段，以最大限度地提高隐蔽性和效率。通过结合 DLL 侧载、进程挖空和定向钓鱼策略，攻击者不仅可以绕过防御措施，还能调整攻击活动，最大限度地提升攻击效果。各组织机构应保持对可疑电子邮件附件的警惕，并实施分层安全防御，以减少此类威胁的暴露。