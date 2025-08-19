Tags
Análise de ameaças IBM X-Force: QuirkyLoader - um novo carregador malware que distribui infostealers e RATs

Uma mulher com expressão preocupada, com as mãos junto ao rosto, sentada em frente a um computador, olhando para um notebook

Desde novembro de 2024, o IBM X-Force observou um novo carregador, o QuirkyLoader, sendo usado para entregar cargas úteis adicionais aos sistemas infectados. Algumas das famílias de malware conhecidas que usam o QuirkyLoader incluem:

  • Agent Tesla
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos
  • Rhadamanthys
  • Snake Keylogger

A infecção em múltiplos estágios começa com um e-mail. O agente da ameaça utiliza tanto provedores de serviços de e-mail legítimos quanto um servidor de e-mail próprio para enviar e-mails com um arquivo malicioso em anexo. Este arquivo contém três componentes principais: um executável legítimo, uma carga útil criptografada e uma DLL maliciosa. O agente malicioso utiliza o carregamento lateral de DLL, uma técnica na qual a execução do arquivo executável legítimo também carrega a DLL maliciosa. Essa DLL, por sua vez, carrega, descriptografa e injeta a carga útil final em seu processo de destino.

Notavelmente, o X-Force observou que o agente da ameaça escreve de forma consistente o módulo carregador de DLL em linguagens.NET e usa a compilação ahead-of-time (AOT). Esse processo compila o código em código de máquina nativo antes da execução, fazendo com que o binário resultante pareça ter sido escrito em C ou C++.

Tipo de ameaça

  • Carregador

Análise

Cadeia de infecção

A cadeia de infecção do QuirkyLoader começa quando um usuário abre um arquivo malicioso anexado a um e-mail de spam. Esse arquivo contém um executável legítimo, uma carga útil criptografada disfarçada de DLL e um módulo carregador de DLL. Em alguns casos, o arquivo inclui outras DLLs legítimas para ocultar o módulo mal-intencionado.

A execução do arquivo .EXE legítimo inicia os estágios subsequentes da infecção. O executável utiliza o carregamento lateral de DLL para carregar a DLL maliciosa. Essa DLL então carrega, descriptografa e injeta a carga útil final em um processo de destino. Isso é feito através da execução de um processo de esvaziamento em um dos seguintes processos: AddInProcess32.exe, InstallUtil.exeou aspnet_wp.exe.

uma amostra de e-mail usada para entregar malware/carregador
Figura 1: Exemplo de e-mail
um fluxograma mostrando a cadeia de infecção do QuirkyLoader
Figura 2: Cadeia de infecção

Módulo carregador de DLL

​O módulo DLL do QuirkyLoader é escrito de forma consistente em C# .NET. Ele é compilado usando a compilação Ahead-of-Time (AOT), que compila o código C# para a Microsoft Intermediate Language (MSIL) primeiro e, em seguida, compila o MSIL para o código de máquina nativo.Essa técnica ignora o método tradicional do .NET de primeiro compilar o código no Microsoft Intermediate Language (MSIL) e, em seguida, usar o Common Language Runtime (CLR) para traduzi-lo em código nativo. Como resultado, o binário final se assemelha a um programa escrito em C ou C++.

captura de tela da identificação do compilador e da linguagem para um binário do .NET AOT
Figura 3: identificação do compilador e da linguagem para um binário do .NET AOT

Para carregar a carga útil criptografada, o malware chama as APIs do Win32 CreateFileW() e ReadFile(). Em seguida, descriptografa o buffer que contém a carga útil, geralmente usando uma cifra de bloco.

Curiosamente, uma variante utiliza a cifra Speck-128 com o modo Contador (CTR) para descriptografar a carga útil, um método não comumente usado por malware. A cifra Speck funciona expandindo a chave mestra em várias chaves de rodada. Essas chaves de rodada são usadas junto com um nonce para gerar um fluxo de chaves executando operações de Add-Rotate-XOR (ARX). Por fim, o malware aplica XOR entre o fluxo de chaves gerado e os dados criptografados, em blocos de 16 bytes, para produzir a carga útil descriptografada.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

Bloco de código 1 – geração de fluxo de chave da cifra Speck

Para evitar a detecção pelo software de segurança, o malware resolve dinamicamente as APIs Win32 necessárias para o detalhamento do processo.

Primeiro, o malware utiliza o CreateProcessW() para iniciar um processo em estado suspenso. Em seguida, desfaz o mapeamento da memória do processo suspenso com ZwUnmapViewOfSection() e escreve sua carga maliciosa nesse espaço de memória usando ZwWriteVirtualMemory(). Após realizar essas inicializações, o malware define o ponto de partida da carga útil com SetThreadContext() e chama ResumeThread() para executá-la.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

Vitimologia

Embora as informações sobre a distribuição geográfica das operações do QuirkyLoader tenham sido limitadas nos últimos meses, duas campanhas distintas foram descobertas em julho de 2025 visando Taiwan e México. A campanha em Taiwan teve como alvo específico os funcionários da Nusoft Taiwan, uma empresa de pesquisa em segurança de redes e internet, e distribuiu o Snake Keylogger que rouba informações. No México, a campanha teve como alvo indivíduos aleatórios, distribuindo tanto o Remcos RAT quanto o AsyncRAT.

Infraestrutura de rede relacionada

O IBM X-Force descobriu IOCs de rede adicionais relacionados ao domínio usado para distribuir os e-mails de malspam. A investigação começou com o domínio catherinereynolds[.]info, que é resolvido para o endereço IP 157[.]66[.]225[.]11 e hospeda um cliente web Zimbra. Após uma inspeção mais detalhada, descobriu-se que o domínio usa um certificado SSL com o nome comum mail[.]catherinereynolds[.]info. Fazendo o pivot a partir deste certificado, os IPs 103[.]75[.]77[.]90 e 161[.]248[.]178[.]212 foram descobertos usando o mesmo certificado SSL.O X-Force tem muita confiança de que esses IPs adicionais estão relacionados, pois usam ISPs semelhantes, hospedam serviços semelhantes e compartilham o mesmo nome comum nos seus certificados SSL.

Certificado SSL de catherinereynolds[.]info
Figura 4: Certificado SSL de catherinereynolds[.]info

Conclusão

O QuirkyLoader é um novo carregador de malware que está distribuindo ativamente famílias de malware conhecidas, como Agent Tesla, AsyncRAT e Remcos. O agente da ameaça inicia uma infecção em vários estágios usando e-mails maliciosos contendo um arquivo compactado. Ao aproveitar o carregamento lateral de DLL, o malware executa seu módulo DLL principal, que é escrito em .NET e compilado com antecedência para disfarçar sua natureza. Em seguida, esse módulo descriptografa e injeta a carga útil final, demonstrando um método sofisticado para fornecer várias ameaças de malware.

Recomendações

  • Bloqueie mensagens com anexos executáveis
  • Evite abrir e-mails inesperados
  • Evite abrir arquivos provenientes de fontes não confiáveis
  • Mantenha os produtos de segurança atualizados e configurados corretamente
  • Como as cargas úteis finais geralmente são ferramentas de roubo de informações e acesso remoto, monitore e inspecione ativamente o tráfego de rede de saída
  • Monitore de perto o comportamento dos seguintes processos legítimos, pois eles são alvos comuns do esvaziamento de processos pelo QuirkyLoader:
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

Indicadores de comprometimento

Indicador

Tipo de indicador

Contexto

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

arquivo

Módulo DLL QuirkyLoader

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

arquivo

Módulo DLL QuirkyLoader

a64a99b8451038f2bbcd32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

arquivo

Módulo DLL QuirkyLoader

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

arquivo

Módulo DLL QuirkyLoader

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
bd649525ac247c111

arquivo

Módulo DLL QuirkyLoader

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

arquivo

Exemplo de e-mail do QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

arquivo

Exemplo de e-mail do QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

arquivo

Exemplo de e-mail do QuirkyLoader

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

arquivo

Exemplo de e-mail do QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

arquivo

Exemplo de e-mail do QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

arquivo

Exemplo de e-mail do QuirkyLoader

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

arquivo

Exemplo de e-mail do QuirkyLoader

a83aa955608e9463f272adca
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

arquivo

Exemplo de e-mail do QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

arquivo

Exemplo de e-mail do QuirkyLoader

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

arquivo

Exemplo de e-mail do QuirkyLoader

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

arquivo

Anexo de e-mail contendo QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

arquivo

Anexo de e-mail contendo QuirkyLoader

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

arquivo

Anexo de e-mail contendo QuirkyLoader

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

arquivo

Anexo de e-mail contendo QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

arquivo

Anexo de e-mail contendo QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

arquivo

Anexo de e-mail contendo QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

arquivo

Anexo de e-mail contendo QuirkyLoader

catherinereynolds[.]info

Domínio

Domínio usado para campanha de spam malicioso

mail[.]catherinereynolds[.]info

Domínio

Domínio usado para campanha de spam malicioso

157[.]66[.]22[.]11

IPv4

Endereço IP catherinereynolds[.]info resolve para

103[.]75[.]77[.]90

IPv4

Endereço IP relacionado ao QuirkyLoader

161[.]248[.]178[.]212

IPv4

Endereço IP relacionado ao QuirkyLoader

IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e outras. Acesse insights sobre agente da ameaça, malware e riscos do setor. Instale o OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Fique à frente – faça a integração hoje mesmo.

