Исследователи из IBM X-Force выявили новый вредоносный загрузчик, получивший название QuirkyLoader, который активно используется как минимум с ноября 2024 года. Его основная задача — служить транспортным средством для доставки широкого спектра опасного программного обеспечения, включая информационные стиллеры и трояны удаленного доступа (RAT). Распространение происходит через спам-кампании, использующие как легитимные почтовые сервисы, так и собственные серверы злоумышленников.
QuirkyLoader способен доставлять на скомпрометированные системы множество вредоносных программ. Среди зафиксированных полезных нагрузок значатся Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer и Snake Keylogger. Такое разнообразие делает загрузчик универсальным инструментом для различных киберпреступных группировок.
Механизм атаки начинается с отправки жертве электронного письма, содержащего вредоносный архив. Внутри архива находятся три компонента: легитимное исполняемое приложение, вредоносная DLL-библиотека и зашифрованная полезная нагрузка. Когда пользователь запускает легитимное приложение, оно неосознанно загружает вредоносную DLL-библиотеку — эта техника известна как DLL side-loading (загрузка сторонней DLL).
После загрузки вредоносная DLL расшифровывает и внедряет финальную полезную нагрузку в один из легитимных системных процессов. Для этого используется техника process hollowing («опустошение процесса»). В качестве целевых процессов для внедрения были замечены
По словам исследователя безопасности Раймонда Джозефа Альфонсо, QuirkyLoader написан на языках , но использует опережающую (ahead-of-time, AOT) компиляцию. Этот метод преобразует код в нативный машинный код до его выполнения, в результате чего конечный двоичный файл выглядит так, будто он был написан на C или C++. Это значительно усложняет анализ и помогает вредоносному ПО избегать обнаружения.
В июле 2025 года были зафиксированы две отдельные кампании с использованием QuirkyLoader. Первая была целенаправленной атакой на сотрудников тайваньской компании Nusoft Taiwan, занимающейся исследованиями в области сетевой и интернет-безопасности и базирующейся в городе Нью-Тайбэй. В этой атаке в качестве полезной нагрузки использовался Snake Keylogger, который крадет конфиденциальную информацию из веб-браузеров, фиксирует нажатия клавиш и записывает содержимое буфера обмена.
Вторая кампания, также зафиксированная в июле 2025 года, была нацелена на пользователей в Мексике и носила случайный, нетаргетированный характер. В ходе этой атаки злоумышленники распространяли трояны удаленного доступа Remcos RAT и AsyncRAT.
Параллельно с развитием вредоносных загрузчиков злоумышленники совершенствуют и методы фишинга. Одним из наиболее эффективных становится фишинг с использованием QR-кодов, или «квишинг». Его успех обусловлен тем, что QR-коды нечитаемы для человека, легко обходят текстовые спам-фильтры и выводят пользователя за пределы защищенного корпоративного периметра, поскольку сканирование происходит с мобильного устройства.
Согласно данным компании Barracuda, киберпреступники начали применять продвинутые тактики квишинга. Исследователь Рохит Суреш Канасе отмечает использование наборов для фишинга, таких как Gabagool, который разделяет вредоносный QR-код на две части, и Tycoon, который встраивает вредоносные QR-коды внутрь легитимных, чтобы обмануть сканеры.
Другая сложная фишинговая техника, выявленная специалистами NVISO Labs, получила название «фишинг с точной проверкой». Эта методика используется фишинговым набором PoisonSeed. Атака начинается с отправки целевого фишингового письма. Когда жертва переходит по ссылке, система злоумышленников в фоновом режиме в реальном времени проверяет валидность ее адреса электронной почты.
Чтобы выиграть время для проверки, пользователю демонстрируется поддельная страница с задачей Cloudflare Turnstile. После успешной валидации адреса жертва перенаправляется на убедительную поддельную страницу входа в систему, имитирующую популярные сервисы, такие как Google, SendGrid или Mailchimp. Введенные учетные данные перехватываются и немедленно передаются на легитимный сервис, что может привести к блокировке доступа для настоящего владельца.
Изображение носит иллюстративный характер
QuirkyLoader способен доставлять на скомпрометированные системы множество вредоносных программ. Среди зафиксированных полезных нагрузок значатся Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer и Snake Keylogger. Такое разнообразие делает загрузчик универсальным инструментом для различных киберпреступных группировок.
Механизм атаки начинается с отправки жертве электронного письма, содержащего вредоносный архив. Внутри архива находятся три компонента: легитимное исполняемое приложение, вредоносная DLL-библиотека и зашифрованная полезная нагрузка. Когда пользователь запускает легитимное приложение, оно неосознанно загружает вредоносную DLL-библиотеку — эта техника известна как DLL side-loading (загрузка сторонней DLL).
После загрузки вредоносная DLL расшифровывает и внедряет финальную полезную нагрузку в один из легитимных системных процессов. Для этого используется техника process hollowing («опустошение процесса»). В качестве целевых процессов для внедрения были замечены
AddInProcess32.exe, InstallUtil.exe и aspnet_wp.exe. По словам исследователя безопасности Раймонда Джозефа Альфонсо, QuirkyLoader написан на языках , но использует опережающую (ahead-of-time, AOT) компиляцию. Этот метод преобразует код в нативный машинный код до его выполнения, в результате чего конечный двоичный файл выглядит так, будто он был написан на C или C++. Это значительно усложняет анализ и помогает вредоносному ПО избегать обнаружения.
В июле 2025 года были зафиксированы две отдельные кампании с использованием QuirkyLoader. Первая была целенаправленной атакой на сотрудников тайваньской компании Nusoft Taiwan, занимающейся исследованиями в области сетевой и интернет-безопасности и базирующейся в городе Нью-Тайбэй. В этой атаке в качестве полезной нагрузки использовался Snake Keylogger, который крадет конфиденциальную информацию из веб-браузеров, фиксирует нажатия клавиш и записывает содержимое буфера обмена.
Вторая кампания, также зафиксированная в июле 2025 года, была нацелена на пользователей в Мексике и носила случайный, нетаргетированный характер. В ходе этой атаки злоумышленники распространяли трояны удаленного доступа Remcos RAT и AsyncRAT.
Параллельно с развитием вредоносных загрузчиков злоумышленники совершенствуют и методы фишинга. Одним из наиболее эффективных становится фишинг с использованием QR-кодов, или «квишинг». Его успех обусловлен тем, что QR-коды нечитаемы для человека, легко обходят текстовые спам-фильтры и выводят пользователя за пределы защищенного корпоративного периметра, поскольку сканирование происходит с мобильного устройства.
Согласно данным компании Barracuda, киберпреступники начали применять продвинутые тактики квишинга. Исследователь Рохит Суреш Канасе отмечает использование наборов для фишинга, таких как Gabagool, который разделяет вредоносный QR-код на две части, и Tycoon, который встраивает вредоносные QR-коды внутрь легитимных, чтобы обмануть сканеры.
Другая сложная фишинговая техника, выявленная специалистами NVISO Labs, получила название «фишинг с точной проверкой». Эта методика используется фишинговым набором PoisonSeed. Атака начинается с отправки целевого фишингового письма. Когда жертва переходит по ссылке, система злоумышленников в фоновом режиме в реальном времени проверяет валидность ее адреса электронной почты.
Чтобы выиграть время для проверки, пользователю демонстрируется поддельная страница с задачей Cloudflare Turnstile. После успешной валидации адреса жертва перенаправляется на убедительную поддельную страницу входа в систему, имитирующую популярные сервисы, такие как Google, SendGrid или Mailchimp. Введенные учетные данные перехватываются и немедленно передаются на легитимный сервис, что может привести к блокировке доступа для настоящего владельца.
