Το QuirkyLoader βοηθά στη διανομή infostealer malware
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το QuirkyLoader βοηθά στη διανομή infostealer malware
https://www.secnews.gr/656717/quirkyloader-dianomi-agent-tesla-kai-allon/
Aug 21st 2025, 16:37
by Digital Fortress
Ερευνητές κυβερνοασφάλειας αποκάλυψαν λεπτομέρειες για ένα νέο malware loader, που ονομάζεται QuirkyLoader, και χρησιμοποιείται για τη διανομή μιας σειράς κακόβουλων payloads, που κυμαίνονται από infostealers έως trojans απομακρυσμένης πρόσβασης. Η διανομή γίνεται μέσω spam καμπανιών και οι επιθέσεις έχουν ξεκινήσει από τον Νοέμβριο του 2024.
Ορισμένες από τις πιο σημαντικές οικογένειες κακόβουλου λογισμικού που διανέμονται μέσω του QuirkyLoader περιλαμβάνουν τα Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer και Snake Keylogger.
QuirkyLoader malware
Η IBM X-Force, που ανέλυσε το κακόβουλο λογισμικό, ανέφερε ότι οι επιθέσεις περιλαμβάνουν την αποστολή ανεπιθύμητων email από νόμιμους παρόχους υπηρεσιών email αλλά και από έναν self-hosted email server. Αυτά τα email περιέχουν ένα κακόβουλο αρχείο, το οποίο περιλαμβάνει ένα DLL, ένα κρυπτογραφημένο payload και ένα πραγματικό εκτελέσιμο αρχείο.
Δείτε επίσης: Κατάχρηση Generative AI πλατφορμών για Phishing εκστρατείες
"Ο δράστης χρησιμοποιεί DLL side-loading, μια τεχνική όπου η εκκίνηση του νόμιμου εκτελέσιμου αρχείου φορτώνει επίσης το κακόβουλο DLL", δήλωσε ο ερευνητής ασφαλείας Raymond Joseph Alfonso. "Αυτό το DLL, με τη σειρά του, φορτώνει, αποκρυπτογραφεί και εισάγει το τελικό payload στη διαδικασία στόχο".
Αυτό επιτυγχάνεται με τη χρήση της τεχνικής process hollowing για την εισαγωγή του κακόβουλου λογισμικού σε μία από τις τρεις διαδικασίες: AddInProcess32.exe, InstallUtil.exe ή aspnet_wp.exe.
Ο DLL loader, σύμφωνα με την IBM, έχει χρησιμοποιηθεί σε περιορισμένες εκστρατείες τους τελευταίους μήνες, με δύο εκστρατείες να εντοπίζονται τον Ιούλιο του 2025 και να στοχεύουν την Ταϊβάν και το Μεξικό.
Δείτε επίσης: Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
Η εκστρατεία που στοχεύει την Ταϊβάν λέγεται ότι έχει στοχεύσει υπαλλήλους της Nusoft Taiwan, μιας εταιρείας έρευνας ασφάλειας δικτύου και διαδικτύου με έδρα το New Taipei City, με στόχο να τους μολύνει με το Snake Keylogger, το οποίο είναι ικανό να κλέβει ευαίσθητες πληροφορίες από δημοφιλείς περιηγητές ιστού, πληκτρολογήσεις και περιεχόμενο από το πρόχειρο.
Η εκστρατεία που σχετίζεται με το Μεξικό, από την άλλη πλευρά, εκτιμάται ότι είναι τυχαία, με τις αλυσίδες μόλυνσης να διανέμουν τα Remcos RAT και AsyncRAT.
"Ο δράστης γράφει σταθερά το DLL loader module σε γλώσσες .NET και χρησιμοποιεί ahead-of-time (AOT) compilation", δήλωσε ο Alfonso. "Αυτή η διαδικασία μεταγλωττίζει τον κώδικα σε native machine code πριν από την εκτέλεση, κάνοντας το τελικό binary να εμφανίζεται σαν να είχε γραφτεί σε C ή C++".
Το QuirkyLoader αποτελεί μια χαρακτηριστική περίπτωση κακόβουλου λογισμικού που δείχνει πώς οι επιτιθέμενοι εξελίσσουν συνεχώς τις μεθόδους τους, συνδυάζοντας τεχνικές αποφυγής εντοπισμού με μια αλυσίδα εκτέλεσης που μοιάζει απολύτως νόμιμη. Η χρήση DLL side-loading και process hollowing δεν είναι καινούργια τακτική, αλλά το γεγονός ότι ο δράστης αξιοποιεί ahead-of-time compilation για να κάνει τον κώδικα να μοιάζει «καθαρός» (και να είναι δύσκολος στην ανάλυση), ανεβάζει το επίπεδο πολυπλοκότητας. Αυτό δίνει στο QuirkyLoader μια πιο επαγγελματική και ανθεκτική μορφή, επιτρέποντάς του να παραμένει ενεργό για μεγαλύτερο χρονικό διάστημα χωρίς να εντοπίζεται εύκολα.
Δείτε επίσης: Εκμετάλλευση Gemini μέσω Google Calendar για κλοπή emails
Το ανησυχητικό είναι ότι το QuirkyLoader δεν περιορίζεται σε μία μόνο οικογένεια κακόβουλου λογισμικού. Αντιθέτως, λειτουργεί σαν «πολλαπλασιαστής απειλών», διανέμοντας malware που καλύπτουν όλο το φάσμα: από infostealers που κλέβουν προσωπικά δεδομένα και credentials, έως remote access trojans που επιτρέπουν πλήρη έλεγχο σε υπολογιστές-θύματα. Αυτό σημαίνει ότι μία και μόνο μόλυνση μπορεί να έχει αλυσιδωτές συνέπειες: απώλεια προσωπικών στοιχείων, παραβίαση λογαριασμών, κλοπή χρημάτων ή ακόμα και πλήρη έλεγχο των εταιρικών συστημάτων.
Προτεινόμενοι τρόποι προστασίας
• Εκπαίδευση προσωπικού – Τα phishing emails είναι το κύριο μέσο μόλυνσης. Η συνεχής ενημέρωση και προσομοιώσεις επιθέσεων μειώνουν σημαντικά την πιθανότητα επιτυχίας.
• Προηγμένα email gateways – Φίλτρα που εντοπίζουν κακόβουλα συνημμένα και ύποπτα headers μπορούν να μπλοκάρουν μεγάλο μέρος των επιθέσεων.
• Application whitelisting – Ο περιορισμός της εκτέλεσης αρχείων DLL ή EXE που δεν έχουν πιστοποιημένη προέλευση μειώνει τον κίνδυνο side-loading.
• Behavioral detection – Η ανίχνευση ύποπτων συμπεριφορών, όπως process hollowing, είναι πιο αποτελεσματική από την απλή σάρωση υπογραφών.
• Zero Trust αρχιτεκτονική – Ο περιορισμός πρόσβασης σε κρίσιμες εφαρμογές και δεδομένα με βάση ελάχιστα προνόμια (least privilege) περιορίζει τις συνέπειες μιας παραβίασης.
• Endpoint Detection & Response (EDR) – Εργαλεία που παρακολουθούν συνεχώς τις διεργασίες και επιτρέπουν γρήγορη απομόνωση μολυσμένων συστημάτων.
Η εμφάνιση του QuirkyLoader δείχνει ότι οι επιτιθέμενοι γίνονται ολοένα και πιο δημιουργικοί, γι' αυτό και οι οργανισμοί πρέπει να κινούνται πέρα από την παραδοσιακή άμυνα και να επενδύουν σε πολυεπίπεδη προστασία, που συνδυάζει τεχνολογία, εκπαίδευση και προληπτικές στρατηγικές.
© SecNews.gr - Το QuirkyLoader βοηθά στη διανομή infostealer malware
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Το QuirkyLoader βοηθά στη διανομή infostealer malware
https://www.secnews.gr/656717/quirkyloader-dianomi-agent-tesla-kai-allon/
Aug 21st 2025, 16:37
by Digital Fortress
Ερευνητές κυβερνοασφάλειας αποκάλυψαν λεπτομέρειες για ένα νέο malware loader, που ονομάζεται QuirkyLoader, και χρησιμοποιείται για τη διανομή μιας σειράς κακόβουλων payloads, που κυμαίνονται από infostealers έως trojans απομακρυσμένης πρόσβασης. Η διανομή γίνεται μέσω spam καμπανιών και οι επιθέσεις έχουν ξεκινήσει από τον Νοέμβριο του 2024.
Ορισμένες από τις πιο σημαντικές οικογένειες κακόβουλου λογισμικού που διανέμονται μέσω του QuirkyLoader περιλαμβάνουν τα Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer και Snake Keylogger.
QuirkyLoader malware
Η IBM X-Force, που ανέλυσε το κακόβουλο λογισμικό, ανέφερε ότι οι επιθέσεις περιλαμβάνουν την αποστολή ανεπιθύμητων email από νόμιμους παρόχους υπηρεσιών email αλλά και από έναν self-hosted email server. Αυτά τα email περιέχουν ένα κακόβουλο αρχείο, το οποίο περιλαμβάνει ένα DLL, ένα κρυπτογραφημένο payload και ένα πραγματικό εκτελέσιμο αρχείο.
Δείτε επίσης: Κατάχρηση Generative AI πλατφορμών για Phishing εκστρατείες
"Ο δράστης χρησιμοποιεί DLL side-loading, μια τεχνική όπου η εκκίνηση του νόμιμου εκτελέσιμου αρχείου φορτώνει επίσης το κακόβουλο DLL", δήλωσε ο ερευνητής ασφαλείας Raymond Joseph Alfonso. "Αυτό το DLL, με τη σειρά του, φορτώνει, αποκρυπτογραφεί και εισάγει το τελικό payload στη διαδικασία στόχο".
Αυτό επιτυγχάνεται με τη χρήση της τεχνικής process hollowing για την εισαγωγή του κακόβουλου λογισμικού σε μία από τις τρεις διαδικασίες: AddInProcess32.exe, InstallUtil.exe ή aspnet_wp.exe.
Ο DLL loader, σύμφωνα με την IBM, έχει χρησιμοποιηθεί σε περιορισμένες εκστρατείες τους τελευταίους μήνες, με δύο εκστρατείες να εντοπίζονται τον Ιούλιο του 2025 και να στοχεύουν την Ταϊβάν και το Μεξικό.
Δείτε επίσης: Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
Η εκστρατεία που στοχεύει την Ταϊβάν λέγεται ότι έχει στοχεύσει υπαλλήλους της Nusoft Taiwan, μιας εταιρείας έρευνας ασφάλειας δικτύου και διαδικτύου με έδρα το New Taipei City, με στόχο να τους μολύνει με το Snake Keylogger, το οποίο είναι ικανό να κλέβει ευαίσθητες πληροφορίες από δημοφιλείς περιηγητές ιστού, πληκτρολογήσεις και περιεχόμενο από το πρόχειρο.
Η εκστρατεία που σχετίζεται με το Μεξικό, από την άλλη πλευρά, εκτιμάται ότι είναι τυχαία, με τις αλυσίδες μόλυνσης να διανέμουν τα Remcos RAT και AsyncRAT.
"Ο δράστης γράφει σταθερά το DLL loader module σε γλώσσες .NET και χρησιμοποιεί ahead-of-time (AOT) compilation", δήλωσε ο Alfonso. "Αυτή η διαδικασία μεταγλωττίζει τον κώδικα σε native machine code πριν από την εκτέλεση, κάνοντας το τελικό binary να εμφανίζεται σαν να είχε γραφτεί σε C ή C++".
Το QuirkyLoader αποτελεί μια χαρακτηριστική περίπτωση κακόβουλου λογισμικού που δείχνει πώς οι επιτιθέμενοι εξελίσσουν συνεχώς τις μεθόδους τους, συνδυάζοντας τεχνικές αποφυγής εντοπισμού με μια αλυσίδα εκτέλεσης που μοιάζει απολύτως νόμιμη. Η χρήση DLL side-loading και process hollowing δεν είναι καινούργια τακτική, αλλά το γεγονός ότι ο δράστης αξιοποιεί ahead-of-time compilation για να κάνει τον κώδικα να μοιάζει «καθαρός» (και να είναι δύσκολος στην ανάλυση), ανεβάζει το επίπεδο πολυπλοκότητας. Αυτό δίνει στο QuirkyLoader μια πιο επαγγελματική και ανθεκτική μορφή, επιτρέποντάς του να παραμένει ενεργό για μεγαλύτερο χρονικό διάστημα χωρίς να εντοπίζεται εύκολα.
Δείτε επίσης: Εκμετάλλευση Gemini μέσω Google Calendar για κλοπή emails
Το ανησυχητικό είναι ότι το QuirkyLoader δεν περιορίζεται σε μία μόνο οικογένεια κακόβουλου λογισμικού. Αντιθέτως, λειτουργεί σαν «πολλαπλασιαστής απειλών», διανέμοντας malware που καλύπτουν όλο το φάσμα: από infostealers που κλέβουν προσωπικά δεδομένα και credentials, έως remote access trojans που επιτρέπουν πλήρη έλεγχο σε υπολογιστές-θύματα. Αυτό σημαίνει ότι μία και μόνο μόλυνση μπορεί να έχει αλυσιδωτές συνέπειες: απώλεια προσωπικών στοιχείων, παραβίαση λογαριασμών, κλοπή χρημάτων ή ακόμα και πλήρη έλεγχο των εταιρικών συστημάτων.
Προτεινόμενοι τρόποι προστασίας
• Εκπαίδευση προσωπικού – Τα phishing emails είναι το κύριο μέσο μόλυνσης. Η συνεχής ενημέρωση και προσομοιώσεις επιθέσεων μειώνουν σημαντικά την πιθανότητα επιτυχίας.
• Προηγμένα email gateways – Φίλτρα που εντοπίζουν κακόβουλα συνημμένα και ύποπτα headers μπορούν να μπλοκάρουν μεγάλο μέρος των επιθέσεων.
• Application whitelisting – Ο περιορισμός της εκτέλεσης αρχείων DLL ή EXE που δεν έχουν πιστοποιημένη προέλευση μειώνει τον κίνδυνο side-loading.
• Behavioral detection – Η ανίχνευση ύποπτων συμπεριφορών, όπως process hollowing, είναι πιο αποτελεσματική από την απλή σάρωση υπογραφών.
• Zero Trust αρχιτεκτονική – Ο περιορισμός πρόσβασης σε κρίσιμες εφαρμογές και δεδομένα με βάση ελάχιστα προνόμια (least privilege) περιορίζει τις συνέπειες μιας παραβίασης.
• Endpoint Detection & Response (EDR) – Εργαλεία που παρακολουθούν συνεχώς τις διεργασίες και επιτρέπουν γρήγορη απομόνωση μολυσμένων συστημάτων.
Η εμφάνιση του QuirkyLoader δείχνει ότι οι επιτιθέμενοι γίνονται ολοένα και πιο δημιουργικοί, γι' αυτό και οι οργανισμοί πρέπει να κινούνται πέρα από την παραδοσιακή άμυνα και να επενδύουν σε πολυεπίπεδη προστασία, που συνδυάζει τεχνολογία, εκπαίδευση και προληπτικές στρατηγικές.
© SecNews.gr - Το QuirkyLoader βοηθά στη διανομή infostealer malware
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672