Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

QuirkyLoader: AOT DLL‑загрузчик, распространяющий RATы и инфокрады

1
3 мин
QuirkyLoader — недавно выявленный загрузчик вредоносного ПО, который служит «транспортным звеном» для распространения различных полезных нагрузок, включая infostealer’ы и трояны удаленного доступа (RATs). Заражение обычно начинается с открытия пользователем архивного файла, пришедшего по спаму; внутри архива злоумышленники прячут сочетание легитимных и зашифрованных компонентов, чтобы обойти защиту и обеспечить многослойное внедрение вредоноса. Типичная цепочка заражения с участием QuirkyLoader включает несколько этапов: Модуль загрузки DLL в QuirkyLoader выделяется тем, что реализован на C# .NET с применением предварительной компиляции (AOT). Процесс выглядит следующим образом: Авторы отчёта подчёркивают, что описанный «процесс сетевой компиляции», позволяющий конечному двоичному файлу выглядеть как нативное приложение, отличается от общепринятой практики и служит цель маскировки истинной природы загрузчика. По результатам виктимологических исследований, QuirkyLoader был задействован
Оглавление
Источник: www.ibm.com
Источник: www.ibm.com

QuirkyLoader — недавно выявленный загрузчик вредоносного ПО, который служит «транспортным звеном» для распространения различных полезных нагрузок, включая infostealer’ы и трояны удаленного доступа (RATs). Заражение обычно начинается с открытия пользователем архивного файла, пришедшего по спаму; внутри архива злоумышленники прячут сочетание легитимных и зашифрованных компонентов, чтобы обойти защиту и обеспечить многослойное внедрение вредоноса.

Сценарий заражения

Типичная цепочка заражения с участием QuirkyLoader включает несколько этапов:

  • пользователь получает спам-письмо с вложением (архивом);
  • в архиве содержится легитимный исполняемый файл вместе с зашифрованной полезной нагрузкой, замаскированной под библиотеку DLL;
  • в архив также помещён специальный модуль загрузки DLL, который инициирует исполнение замаскированной полезной нагрузки;
  • иногда злоумышленники добавляют дополнительные легитимные библиотеки DLL, чтобы ещё больше затушевать злонамеренную активность.

Технические особенности загрузчика

Модуль загрузки DLL в QuirkyLoader выделяется тем, что реализован на C# .NET с применением предварительной компиляции (AOT). Процесс выглядит следующим образом:

  • исходный код C# сначала компилируется в MSIL;
  • далее MSIL преобразуется в машинный код, что делает конечный бинарник похожим на программу, написанную на C или C++;
  • такой подход повышает скрытность: вредоносная программа теряет очевидные признаки .NET-приложения, усложняя обнаружение традиционными средствами.

Авторы отчёта подчёркивают, что описанный «процесс сетевой компиляции», позволяющий конечному двоичному файлу выглядеть как нативное приложение, отличается от общепринятой практики и служит цель маскировки истинной природы загрузчика.

Виктимология и кампании — июль 2025

По результатам виктимологических исследований, QuirkyLoader был задействован в целевых кампаниях в июле 2025 года, нацеленных на Тайвань и Мексику:

  • На Тайване кампания была направлена на сотрудников Nusoft Taiwan — исследовательской фирмы по безопасности; в рамках атаки распространялся Snake Keylogger infostealer.
  • В Мексике злоумышленники использовали как Remcos RAT, так и AsyncRAT, атакуя различных пользователей.

Сетевая инфраструктура и индикаторы

Расследование выявило связанную сетевую инфраструктуру, которая привела к домену catherinereynolds.info. Ключевые факты:

  • домен: catherinereynolds.info;
  • IP-адрес основного ресурса: 157.66.225.11;
  • на сервере обнаружен веб‑клиент Zimbra;
  • используется SSL‑сертификат с общим именем (CN) mail.catherinereynolds.info;
  • дополнительные IP‑адреса, связанные со схожей инфраструктурой: 103.75.77.90 и 161.248.178.212, что указывает на скоординированные усилия злоумышленников.

Многоэтапная методология и использованные семейства вредоноса

QuirkyLoader представляет собой пример многоэтапной методологии заражения, которая комбинирует классические и современные техники:

  • распространение через вредоносные email‑кампании;
  • сложные методы DLL side-loading для запуска основного модуля;
  • дешифровка и загрузка предполагаемой полезной нагрузки (включая известные семейства: Agent Tesla, AsyncRAT, Remcos и другие).
«QuirkyLoader — пример угрозы, использующей нестандартные методы компиляции и сложные цепочки доставки, что повышает вероятность обхода традиционных средств защиты».

Последствия и рекомендации

QuirkyLoader является серьёзной угрозой в сфере кибербезопасности: сочетание AOT‑компиляции, маскировки под нативный код и многоступенчатой доставки затрудняет обнаружение и анализ. Организациям и пользователям рекомендуется придерживаться базовых мер предосторожности:

  • не открывать вложения и архивы из сомнительных писем;
  • проверять отправителя и целевой домен перед выполнением скачанных файлов;
  • обновлять антивирусные и EDR‑решения, включая сигнатуры и эвристики;
  • блокировать и мониторить указанные домены и IP‑адреса в сетевой инфраструктуре до завершения расследования;
  • проводить анализ поведения запущенных процессов и контроль целостности критичных библиотек DLL.

В условиях эволюции тактик злоумышленников важна проактивная защита и обмен информацией о новых индикаторах компрометации между специалистами по безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "QuirkyLoader: AOT DLL‑загрузчик, распространяющий RATы и инфокрады".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются