İlginç yükleyici adı verilen gelişmiş yeni bir kötü amaçlı yazılım yükleyicisi, Kasım 2024’ten bu yana iyi bilinen infosterers ve uzaktan erişim Trojanları (sıçanlar) aktif olarak dağıtarak önemli bir siber güvenlik tehdidi olarak ortaya çıktı.
Kötü amaçlı yazılım, Ajan Tesla, Asyncrat, Formbook, MassLogger, Remcos, Rhadamanthys ve Snake Keylogger dahil olmak üzere birden fazla yük ailesinin teslim edilmesinde dikkate değer çok yönlülük göstermiştir, bu da farklı kurban ortamlarında çeşitlilik saldırısı senaryolarını dağıtmak için müthiş bir çok amaçlı araç haline getirmiştir.
QuirkyLoader, kötü niyetli arşiv ataşmanları içeren özenle hazırlanmış spam e-postaları aracılığıyla çok aşamalı enfeksiyonunu başlatır.
Bu arşivler akıllıca üç kritik bileşeni bir araya getirir: meşru bir yürütülebilir dosya, DLL olarak gizlenmiş şifreli kötü amaçlı bir yük ve kötü amaçlı bir DLL yükleyici modülü.
Tehdit aktörleri, kampanyalarını dağıtmak için hem meşru e-posta hizmet sağlayıcılarını hem de kendi kendine barındıran e-posta sunucularını kullanarak operasyonel sofistike olduğunu gösterir, bu da yayından kaldırma çabalarına karşı altyapı çeşitliliğini ve esnekliği sağlar.
.webp)
IBM analistleri, bir meşruiyet kaplamasını korurken kötü amaçlı kod yürütmek için ileri DLL yan yükleme tekniklerinden yararlanan QuirkyLoader’ın kendine özgü saldırı metodolojisini belirledi.
Mağdurlar, görünüşte iyi huylu yürütülebilir dosyayı başlattıklarında, daha sonra gelişen süreçleri şifreleyen ve nihai yükü gelişmiş süreç oyma teknikleri aracılığıyla hedef işlemlere enjekte eden kötü amaçlı DLL’yi otomatik olarak yükler ve gizli yürütme sağlar.
AOT derlemesi yoluyla ileri kaçış
İlginçloader’in en dikkat çekici teknik yeniliği, DLL yükleyici modülleri için önceden zaman (AOT) derlemesinin tutarlı kullanımında yatmaktadır.
.webp)
Kötü amaçlı yazılım yazarları bu bileşenleri C# .NET’e yazar, ancak bunları doğrudan yerel makine koduna derlemeden önce C# kodunu Microsoft Ara Diline (MSIL) dönüştüren gelişmiş AOT tekniklerini kullanarak derler.
Bu sofistike yaklaşım, geleneksel .NET çalışma zamanı bağımlılıklarını atlar ve sonuçta ortaya çıkan ikili, C veya C ++ ‘da yazılmış programlara yakından benzemesini sağlar ve algılama çabalarını ve analiz prosedürlerini önemli ölçüde karmaşıklaştırır.
Kötü amaçlı yazılım, güvenli tuş akımları oluşturmak için karmaşık eklenti-rotat-xor (ARX) işlemleri kullanılarak yük yükü şifrelemesi için sayaç (CTR) modu ile nadir görülen Speck-128 şifresini kullanır.
QuirkyLoader, AddInProcess32.exe, InstallUtil.exe ve ASPNET_WP.EXE dahil olmak üzere, işlem tabanlı algılama mekanizmalarından kaçınırken gizli yük yürütmesini sağlayan meşru Windows işlemlerinde proses oyalamasını gerçekleştirir.
Temmuz 2025’teki son kampanyalar özellikle Nusoft Tayvan çalışanlarını ve Meksikalı bireyleri hedefledi.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.