Хакеры создали «универсальный ключ» для запуска вирусов: его зовут QuirkyLoader

IBM X-Force QuirkyLoader Agent Tesla AsyncRAT Remcos Snake Keylogger вредоносные вложения
Хакеры создали «универсальный ключ» для запуска вирусов: его зовут QuirkyLoader
IBM X-Force QuirkyLoader Agent Tesla AsyncRAT Remcos Snake Keylogger вредоносные вложения

QuirkyLoader прячет яд в законной оболочке — и никто не замечает.

image

Специалисты IBM X-Force сообщили о появлении нового загрузчика QuirkyLoader, который с конца 2024 года используется для распространения множества известных вредоносных программ, включая Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos, Rhadamanthys и Snake Keylogger. Распространение идёт через электронные письма с архивами, внутри которых находятся легитимный исполняемый файл, зашифрованный модуль и вредоносная библиотека. Атака строится на механизме DLL side-loading: при запуске законного приложения подгружается поддельная библиотека, которая расшифровывает и внедряет финальный вредоносный код.

По наблюдениям IBM X-Force, вредоносный модуль пишется на .NET, но при этом компилируется Ahead-of-Time (AOT), что позволяет выдавать его за бинарь на C или C++. Для загрузки полезной нагрузки злоумышленники используют Win32 API CreateFileW и ReadFile, после чего выполняют расшифровку буфера. В одной из разновидностей был задействован необычный для малвари блочный шифр Speck-128 в режиме CTR, где для генерации потока ключей применяются операции сложения, циклического сдвига и XOR.

Финальный этап — process hollowing. Загрузчик создаёт процесс в приостановленном состоянии, освобождает его память с помощью ZwUnmapViewOfSection, записывает вредоносный код через ZwWriteVirtualMemory и запускает его через ResumeThread после установки нужного контекста. Для этого QuirkyLoader динамически разрешает API-функции, чтобы усложнить обнаружение. Типичные процессы-жертвы — AddInProcess32.exe, InstallUtil.exe и aspnet_wp.exe.

В июле 2025 года были зафиксированы две кампании: на Тайване атаки были направлены против сотрудников компании Nusoft Taiwan и приводили к установке Snake Keylogger , а в Мексике заражения носили массовый характер и заканчивались установкой Remcos RAT и AsyncRAT. Анализ инфраструктуры показал использование домена catherinereynolds[.]info, связанного с несколькими IP-адресами и SSL-сертификатами, указывающими на общую принадлежность.

QuirkyLoader демонстрирует высокий уровень разработки: использование AOT-компиляции, редких методов шифрования и гибкой подгрузки API делает его заметным игроком среди современных загрузчиков. Основные рекомендации включают блокировку писем с исполняемыми файлами, отказ от открытия неожиданных вложений, актуализацию защитных систем и мониторинг исходящего трафика, так как конечные модули в большинстве случаев собирают данные и открывают удалённый доступ.