QuirkyLoader 惡意軟體

網路安全研究人員發現了一種名為 QuirkyLoader 的新型惡意軟體載入程序，該程式自 2024 年 11 月以來一直活躍於垃圾郵件活動。其主要作用是傳播各種惡意負載，包括資訊竊取程式和遠端存取木馬 (RAT)。

惡意軟體庫日益壯大

QuirkyLoader 與多個備受關注的惡意軟體家族的傳播有關，其中包括：

• 特務特斯拉
• 異步RAT
• 表格簿
• 品質記錄器
• Remcos RAT
• 拉達曼迪斯竊賊
• Snake鍵盤記錄器

這個廣泛的工具包凸顯了載入器的適應性和威脅行為者發動各種網路攻擊的能力。

透過垃圾郵件進行欺騙性投遞

攻擊者依靠合法的電子郵件服務提供者和自架的電子郵件伺服器來發送惡意垃圾郵件。每封電子郵件通常包含一個存檔文件，其中包含三個關鍵組件：

• 惡意 DLL
• 加密的有效載荷
• 合法的可執行文件

透過 DLL 側載，攻擊者利用了合法可執行檔的運作也會觸發惡意 DLL 的原理。惡意 DLL 隨後解密並將最終的有效載荷注入目標進程。

利用 Process Hollowing

注入機制涉及進程挖空（Process Hollowing），這是一種惡意軟體用自身程式碼取代合法進程程式碼的技術。在QuirkyLoader的攻擊活動中，常用的注入程序包括：

• 加載項進程32
• 安裝實用程式
• aspnet_wp.exe

這種方法允許惡意軟體偽裝成合法活動，使檢測變得更具挑戰性。

台灣和墨西哥的針對性攻擊

到目前為止，QuirkyLoader 已在規模較小、針對性較強的活動中被發現。 2025 年 7 月記錄了兩波值得注意的攻擊：

台灣行動：此行動專門針對網路安全公司新軟台灣的員工。此行動旨在部署 Snake 鍵盤記錄器，用於竊取瀏覽器資料、鍵盤輸入和剪貼簿內容。

墨西哥行動：其性質似乎更加不加區分，在沒有明確目標模式的情況下分發 Remcos RAT 和 AsyncRAT。

裝載機的技術特點

威脅行為者始終使用 .NET 語言開發 DLL 載入器模組。為了增強抵禦能力和混淆能力，載入器採用預先 (AOT) 編譯技術進行編譯，產生的二進位檔案類似於用 C 或 C++ 編寫的二進位。這使得防禦者更難以分析和偵測該惡意軟體。

最後的想法

QuirkyLoader 是一個典型案例，充分展現了網路犯罪分子如何持續改進其傳播手段，以最大限度地提高隱蔽性和效率。透過結合 DLL 側載、進程挖空和定向釣魚策略，攻擊者不僅可以繞過防禦系統，還能調整攻擊活動，最大限度地提升攻擊效果。各組織機構應保持對可疑電子郵件附件的警惕，並實施分層安全防禦，以減少此類威脅的暴露。