IBM X-Force, tehdit aktörleri tarafından Ajan Tesla, Asyncrat, Formbook, MassLogger, Remcos, Rhadamanthys ve Snake Keylogger gibi önde gelen aileleri dağıtmak için dağıtılan sofistike bir yükleyici kötü amaçlı yazılım olan QuirkyLoader’ı izledi.
Bu çok aşamalı tehdit, meşru sağlayıcılardan veya kendi kendine barındırılan sunuculardan spam e-postaları yoluyla, meşru bir yürütülebilir dosyayı, DLL olarak maskelenen şifreli bir yük ve kötü niyetli bir DLL yükleyici içeren kötü amaçlı arşivler ekler.
Yük dağıtım
DLL yan yüklemeden yararlanan meşru yürütülebilir, kötü niyetli DLL’yi yanlışlıkla yükler, bu da daha sonra son yükü işlem yoluyla nihai yükü AddInProcess32.exe, installutil.exe veya aspnet_wp.exe gibi işlemlere enjekte eder.
Bu teknik, iyi huylu operasyonları taklit ederek ilk tespitten kaçınarak gizli yürütme sağlar.
Tuhaf yükleyici’nin temel DLL modülü, C# .NET’te yazılır ve C veya C ++ ikili dosyalarına benzeyen yerel makine kodu üreterek, geleneksel .NET çalışma zamanı analizini atlayarak önceden (AOT) yöntemler kullanılarak derlenir.
Teknik döküm
Yükleyici, şifrelenmiş yüke erişmek için CreateFileW () ve ReadFile () gibi Win32 API’leri kullanır ve TO modunda nadir görülen Speck-128 de dahil olmak üzere blok şifreleriyle şifresini çözer.
Bu şifre, bir ana anahtarı yuvarlak tuşlara genişletir, eklenti-rotat-xor (ARX) işlemleri yoluyla tuş akışı üretimi için bir nonce ekler, ardından 16 baytlık bloklarda şifrelenmiş verilere karşı xoring yapar.
Güvenlik araçlarını daha fazla atlatmak için, kötü amaçlı yazılım, Proses Hollowing için API’leri dinamik olarak çözer, CreateProcessw () ile askıya alınmış işlemleri başlatır, zwunmapviewofsection () aracılığıyla belleği açma, ZwwriteVirtualMemory () ile yükleri enjekte eder ve setThread () ve özgeçmiş () ve özgeçmiş kullanarak yürütme kullanılarak devam eder.
Mağdur, Temmuz 2025’te Tayvan’ın Snake Keylogger’lı Nusoft çalışanlarına ve Remcos ve Asyncrat ile rastgele Meksikalı kullanıcılara karşı hedeflenen kampanyaları ortaya koyuyor.
İlgili altyapı, Catherinerynolds alanını içerir[.]Bilgi 157.66.225.11’e çözümleme, bir Zimbra istemcisine ev sahipliği yapmak, 103.75.77.90 ve 161.248.178.212 Posta altında SSL sertifikalarını paylaşmak.[.]Bilgi, uyumlu bir Malspam ağını gösteren.
QuirkyLoader, gelişen yükleyici taktiklerini örneklendirir, .NET AOT derlemesini nadir şifrelerle ve dinamik API çözünürlüğü ile infostaler ve fareleri dağıtmak için harmanlar.
Kuruluşlar yürütülebilir ekleri engellemeli, istenmeyen e -postaları incelemeli, güncellenmiş güvenlik çözümlerini korumalı ve anormallikler için giden trafiği izlemelidir.
İçi boşlaşmaya eğilimli süreçler üzerindeki uyanıklık çok önemlidir. Tehditler devam ettikçe, proaktif tehdit istihbaratı bu tür yükleyicilere karşı koymanın anahtarı olmaya devam etmektedir.
Uzlaşma temel göstergeleri
| Gösterge | Tip | Bağlam |
|---|---|---|
| 011257B766F2539828BD45F8AA4CE3C4048AC2699D988329783290A7B4A0D3 | Dosya | Tuhafloader DLL Modülü |
| Catherinerynolds[.]bilgi | İhtisas | Malspam kampanyası için kullanılan alan adı |
| 157.66.225.11 | IPv4 | IP Malspam Etki Alanına Çözme |
| 103.75.77.90 | IPv4 | İlgili IP paylaşılan SSL sertifikası |
| 161.248.178.212 | IPv4 | İlgili IP paylaşılan SSL sertifikası |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!