Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый загрузчик QuirkyLoader атакует Windows

1 мин
изображение: recraft Исследовательская группа IBM X-Force зафиксировала появление новой угрозы — загрузчика QuirkyLoader, который с конца 2024 года используется киберпреступниками для массовой доставки вредоносных программ. Этот инструмент уже активно применяется в реальных атаках, охватывающих широкий спектр малвари — от кейлоггеров до RAT. По информации IBM, через QuirkyLoader распространяются следующие известные угрозы: Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos RAT, Rhadamanthys Stealer и Snake Keylogger. Основной канал доставки — электронная почта. Жертве отправляется архив, содержащий сразу три элемента: легитимный исполняемый файл, вредоносную DLL-библиотеку и зашифрованную полезную нагрузку. Атака построена на технике DLL side-loading — запуск доверенного приложения приводит к подгрузке вредоносной библиотеки, которая расшифровывает и внедряет вредоносный код в рабочий процесс. В целях маскировки злоумышленники используют процессы, которые часто встречаются в Windows:

изображение: recraft

Исследовательская группа IBM X-Force зафиксировала появление новой угрозы — загрузчика QuirkyLoader, который с конца 2024 года используется киберпреступниками для массовой доставки вредоносных программ. Этот инструмент уже активно применяется в реальных атаках, охватывающих широкий спектр малвари — от кейлоггеров до RAT.

По информации IBM, через QuirkyLoader распространяются следующие известные угрозы: Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos RAT, Rhadamanthys Stealer и Snake Keylogger. Основной канал доставки — электронная почта. Жертве отправляется архив, содержащий сразу три элемента: легитимный исполняемый файл, вредоносную DLL-библиотеку и зашифрованную полезную нагрузку.

Атака построена на технике DLL side-loading — запуск доверенного приложения приводит к подгрузке вредоносной библиотеки, которая расшифровывает и внедряет вредоносный код в рабочий процесс. В целях маскировки злоумышленники используют процессы, которые часто встречаются в Windows: AddInProcess32.exe, InstallUtil.exe или aspnet_wp.exe.

Особенность загрузчика — компиляция полезной нагрузки Ahead-of-Time, что позволяет ей выглядеть как бинарь, написанный на C или C++. При этом модуль на самом деле реализован на .NET. Для расшифровки содержимого используется блоковый шифр Speck-128 в режиме CTR, что необычно для массовой малвари.

В июле 2025 года было зафиксировано два масштабных эпизода. В одном из них целью стали сотрудники Nusoft Taiwan. Им отправляли вредонос, маскирующийся под документы, который в конечном итоге устанавливал Snake Keylogger. Этот шпион собирает данные из браузеров, регистрирует нажатия клавиш и копирует содержимое буфера обмена. Вторая волна затронула пользователей в Мексике — там конечной нагрузкой выступали Remcos RAT и AsyncRAT.

Оригинал публикации на сайте CISOCLUB: "Хакеры создали новый инструмент для массовой доставки вредоносного ПО".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются