Новый загрузчик QuirkyLoader угрожает пользователям: как злоумышленники распространяют трояны и кейлоггеры

С ноября 2024 года эксперты IBM X-Force обнаружили новую вредоносную программу-загрузчик под названием QuirkyLoader, которая используется для доставки на зараженные системы дополнительных вредоносных нагрузок. Этот инструмент активно применяется для распространения таких известных семейств malware, как Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos, Rhadamanthys и Snake Keylogger. Атаки нацелены как на частных пользователей, так и на организации, причем в июле 2025 года были зафиксированы кампании против Тайваня и Мексики.

Описание

Многоэтапная инфекция начинается с электронного письма, которое злоумышленники рассылают через легитимные почтовые сервисы или собственные серверы. Вложение содержит архив с тремя ключевыми компонентами: легитимным исполняемым файлом, зашифрованной нагрузкой и вредоносной DLL. Используется техника DLL side-loading, при которой запуск легитимного EXE-файла приводит к загрузке зловредной DLL. Эта библиотека, в свою очередь, расшифровывает и внедряет финальную нагрузку в целевой процесс.

Особенностью QuirkyLoader является то, что модуль загрузки DLL consistently написан на .NET и компилируется с использованием аутентичной компиляции (AOT). Это означает, что код сначала компилируется в Microsoft Intermediate Language (MSIL), а затем в нативный машинный код, что делает итоговый бинарник похожим на программу, написанную на C или C++. Такой подход затрудняет обнаружение и анализ угрозы.

Для загрузки зашифрованной нагрузки malware вызывает Win32 API функции CreateFileW() и ReadFile(), после чего расшифровывает буфер с полезной нагрузкой, обычно используя блочный шифр. В одной из вариаций применяется шифр Speck-128 в режиме счетчика (CTR), что нетипично для вредоносных программ. Этот алгоритм использует мастер-ключ для генерации раундовых ключей, которые вместе с nonce применяются для создания keystream через Add-Rotate-XOR (ARX) операции. Затем malware выполняет XOR между сгенерированным keystream и зашифрованными данными блоками по 16 байт.

Чтобы избежать обнаружения средствами безопасности, QuirkyLoader динамически разрешает необходимые Win32 API для process hollowing. Сначала malware запускает процесс в приостановленном состоянии с помощью CreateProcessW(), затем анмапирует память этого процесса через ZwUnmapViewOfSection() и записывает вредоносную нагрузку в это пространство памяти с использованием ZwWriteVirtualMemory(). После инициализации malware устанавливает точку входа для нагрузки через SetThreadContext() и вызывает ResumeThread() для выполнения.

Что касается географии атак, то в июле 2025 года были выявлены две целевые кампании: на Тайване и в Мексике. На Тайване атака была нацелена на сотрудников компании Nusoft Taiwan, занимающейся сетевой и интернет-безопасностью, и распространяла кейлоггер Snake. В Мексике кампания носила более случайный характер, доставляя как Remcos RAT, так и AsyncRAT.

Эксперты IBM X-Force также обнаружили связанную сетевую инфраструктуру, используемую для рассылки вредоносных писем. Домен catherinereynolds[.]info, разрешающийся на IP-адрес 157[.]66[.]225[.]11, hosts клиент Zimbra. Дальнейшее расследование показало, что этот домен использует SSL-сертификат с общим именем mail[.]catherinereynolds[.]info. Анализ сертификата позволил выявить дополнительные IP-адреса: 103[.]75[.]77[.]90 и 161[.]248[.]178[.]212, которые используют аналогичные ISP, hosting похожие сервисы и имеют то же общее имя в SSL-сертификатах.

QuirkyLoader представляет собой новый активно развивающийся загрузчик, который доставляет известные семейства malware, такие как Agent Tesla, AsyncRAT и Remcos. Атака начинается с фишинговых писем, содержащих архивные файлы, а использование DLL side-loading и аутентичной компиляции позволяет malware эффективно маскировать свою деятельность.