Хакерите са създали „универсален ключ“ за стартиране на вируси: името му е QuirkyLoader
QuirkyLoader крие отрова в легалната среда – и никой не вижда това.
Изследователи от IBM X-Force оповестиха за появяването на нов даунлоудър, наименуван QuirkyLoader, който се употребява от края на 2024 година за разпространяване на разнообразни известни зловредни стратегии, в това число Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos, Rhadamanthys и Snake Keylogger. Разпространява се посредством имейли с архиви, съдържащи законен осъществим файл, криптиран модул и зловредна библиотека. Атаката се основава на механизма за редом зареждане на DLL: при пускане на законно приложение се зарежда подправена библиотека, която декриптира и инжектира крайния злотворен код.
Според наблюденията на IBM X-Force злонамереният модул е написан на.NET, само че е компилиран в режим Ahead-of-Time (AOT), което разрешава да бъде показан като двоичен файл на C или C++. Нападателите благодарение на Win32 API CreateFileW и ReadFile зареждат потребния товар, след което правят декриптиране на буфера. Един от разновидностите употребява необикновен за злотворен програмен продукт блоков код Speck-128 в режим CTR, при който за генериране на основния поток се употребяват интервенции за прибавяне, циклично изместване и XOR.
Последният стадий е process hollowing: loader-ът основава спрян развой, освобождава паметта му благодарение на ZwUnmapViewOfSection, записва злоумишлен код посредством ZwWriteVirtualMemory и го започва посредством ResumeThread след задаване на верния подтекст. За да направи това, QuirkyLoader динамично позволява функционалностите на API, с цел да затрудни откриването. Типичните процеси на жертвите са AddInProcess32.exe, InstallUtil.exe и aspnet_wp.exe.
През юли 2025 година бяха регистрирани две акции: в Тайван офанзивите бяха ориентирани към чиновници на Nusoft Taiwan и доведоха до инсталирането на Snake Keylogger, а в Мексико инфекциите бяха всеобщи и доведоха до инсталирането на Remcos RAT и AsyncRAT. Анализът на инфраструктурата сподели потреблението на домейна catherinereynolds[.]info, обвързван с голям брой IP адреси и SSL документи, показващи обща принадлежност.
QuirkyLoader показва високо равнище на разработка: потреблението на AOT компилация, редки способи за криптиране и гъвкавото зареждане на API го трансформира в незабравим състезател измежду актуалните зареждащи стратегии. Основните рекомендации включват блокиране на имейлите с изпълними файлове, отбягване отварянето на непредвидени атачмънти, актуализиране на системите за сигурност и наблюдаване на изходящия трафик, защото крайните модули най-често събират данни и обезпечават далечен достъп.
