A IBM X-Force acompanhou o QuirkyLoader, um sofisticado malware de carregador implantado por atores de ameaças para distribuir famílias de destaque como agente Tesla, Asyncrat, Formbook, MassLogger, Remcos, Rhadamanthys e Snake Keylogger.
Essa ameaça de vários estágios inicia por e-mails de spam de provedores legítimos ou servidores auto-hospedados, anexando arquivos maliciosos contendo um executável legítimo, uma carga útil criptografada que se disfarça de DLL e um carregador de DLL malicioso.
Entrega da carga útil
Aproveitando o carregamento lateral da DLL, o legítimo executável carrega inadvertidamente DLL maliciosoque descriptografa e injeta a carga útil final via processo oco em processos como addinprocess32.exe, installutil.exe ou aspnet_wp.exe.
Essa técnica garante a execução furtiva, evitando a detecção inicial imitando operações benignas.
O módulo DLL do núcleo do peculiarloader é de autoria em C# .NET e compilado usando métodos antecipados (AOT), produzindo código de máquina nativo que se assemelha aos binários C ou C ++, ignorando a análise tradicional do tempo de execução .NET.
Aparelhamento técnico
O carregador emprega APIs Win32 como CreateFileW () e ReadFile () para acessar a carga útil criptografada, descriptografando-a com cifras de bloco, incluindo o Speck-128 incomum no modo CTR.
Essa cifra expande uma chave mestre para as teclas redondas, incorporando um Nonce para a geração de teclas através de operações de add-rotate-xor (ARX), seguido de Xoring contra dados criptografados em blocos de 16 bytes.
Para desviar de ferramentas de segurança, o malware resolve dinamicamente as APIs para o processo de processo, lançando processos suspensos com CreateProcessW (), que não está aplicando memória via zwunmapViewOfSection (), injetando cargas pagas com zwwritevirtualMemory () e retomar a execução usando o setThreadConteContext () e o RemumethRead () e retomar.
Vitimologia revela Campanhas direcionadas em julho de 2025 contra os funcionários da NUSOFT de Taiwan com Snake KeyLogger e usuários mexicanos aleatórios com Remcos e Asyncrat.
Infraestrutura relacionada inclui o domínio Catherinereynolds[.]Informações resolvendo para 157.66.225.11, hospedando um cliente Zimbra, com IPS 103.75.77.90 e 161.248.178.212 Compartilhamento de certificados SSL em Mail.catherineRineynolds[.]Informações, indicando uma rede coesa MALSPAM.
O carregador peculiar exemplifica táticas de carregadores em evolução, misturando compilação .NET AOT com cifras raras e resolução dinâmica da API para implantar Infotealers e ratos.
As organizações devem bloquear anexos executáveis, examinar e -mails não solicitados, manter soluções de segurança atualizadas e monitorar o tráfego de saída de anomalias.
A vigilância sobre os processos propensos a escavar é crucial. À medida que as ameaças persistem, a inteligência proativa de ameaças continua a ser fundamental para combater esses carregadores.
Principais indicadores de compromisso
| Indicador | Tipo | Contexto |
|---|---|---|
| 011257EB766F2539828BDD45F8AA4CE3C4048AC2699D9888329783290A7B4A0D3 | Arquivo | Módulo DLL de carga peculiar |
| Catherinereynolds[.]informações | Domínio | Domínio usado para a campanha Malspam |
| 157.66.225.11 | IPv4 | IP resolvendo o domínio Malspam |
| 103.75.77.90 | IPv4 | IP relacionado com certificado SSL compartilhado |
| 161.248.178.212 | IPv4 | IP relacionado com certificado SSL compartilhado |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!