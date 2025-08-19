Desde novembro de 2024, o IBM X-Force observou um novo carregador, o QuirkyLoader, sendo usado para entregar cargas úteis adicionais aos sistemas infectados. Algumas das famílias de malware conhecidas que usam o QuirkyLoader incluem:

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

A infecção em múltiplos estágios começa com um e-mail. O agente da ameaça utiliza tanto provedores de serviços de e-mail legítimos quanto um servidor de e-mail próprio para enviar e-mails com um arquivo malicioso em anexo. Este arquivo contém três componentes principais: um executável legítimo, uma carga útil criptografada e uma DLL maliciosa. O agente malicioso utiliza o carregamento lateral de DLL, uma técnica na qual a execução do arquivo executável legítimo também carrega a DLL maliciosa. Essa DLL, por sua vez, carrega, descriptografa e injeta a carga útil final em seu processo de destino.

Notavelmente, o X-Force observou que o agente da ameaça escreve de forma consistente o módulo carregador de DLL em linguagens.NET e usa a compilação ahead-of-time (AOT). Esse processo compila o código em código de máquina nativo antes da execução, fazendo com que o binário resultante pareça ter sido escrito em C ou C++.