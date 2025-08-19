Desde novembro de 2024, o IBM X-Force observou um novo carregador, o QuirkyLoader, sendo usado para entregar cargas úteis adicionais aos sistemas infectados. Algumas das famílias de malware conhecidas que usam o QuirkyLoader incluem:
A infecção em múltiplos estágios começa com um e-mail. O agente da ameaça utiliza tanto provedores de serviços de e-mail legítimos quanto um servidor de e-mail próprio para enviar e-mails com um arquivo malicioso em anexo. Este arquivo contém três componentes principais: um executável legítimo, uma carga útil criptografada e uma DLL maliciosa. O agente malicioso utiliza o carregamento lateral de DLL, uma técnica na qual a execução do arquivo executável legítimo também carrega a DLL maliciosa. Essa DLL, por sua vez, carrega, descriptografa e injeta a carga útil final em seu processo de destino.
Notavelmente, o X-Force observou que o agente da ameaça escreve de forma consistente o módulo carregador de DLL em linguagens.NET e usa a compilação ahead-of-time (AOT). Esse processo compila o código em código de máquina nativo antes da execução, fazendo com que o binário resultante pareça ter sido escrito em C ou C++.
A cadeia de infecção do QuirkyLoader começa quando um usuário abre um arquivo malicioso anexado a um e-mail de spam. Esse arquivo contém um executável legítimo, uma carga útil criptografada disfarçada de DLL e um módulo carregador de DLL. Em alguns casos, o arquivo inclui outras DLLs legítimas para ocultar o módulo mal-intencionado.
A execução do arquivo .EXE legítimo inicia os estágios subsequentes da infecção. O executável utiliza o carregamento lateral de DLL para carregar a DLL maliciosa. Essa DLL então carrega, descriptografa e injeta a carga útil final em um processo de destino. Isso é feito através da execução de um processo de esvaziamento em um dos seguintes processos: AddInProcess32.exe, InstallUtil.exeou aspnet_wp.exe.
O módulo DLL do QuirkyLoader é escrito de forma consistente em C# .NET. Ele é compilado usando a compilação Ahead-of-Time (AOT), que compila o código C# para a Microsoft Intermediate Language (MSIL) primeiro e, em seguida, compila o MSIL para o código de máquina nativo.Essa técnica ignora o método tradicional do .NET de primeiro compilar o código no Microsoft Intermediate Language (MSIL) e, em seguida, usar o Common Language Runtime (CLR) para traduzi-lo em código nativo. Como resultado, o binário final se assemelha a um programa escrito em C ou C++.
Para carregar a carga útil criptografada, o malware chama as APIs do Win32 CreateFileW() e ReadFile(). Em seguida, descriptografa o buffer que contém a carga útil, geralmente usando uma cifra de bloco.
Curiosamente, uma variante utiliza a cifra Speck-128 com o modo Contador (CTR) para descriptografar a carga útil, um método não comumente usado por malware. A cifra Speck funciona expandindo a chave mestra em várias chaves de rodada. Essas chaves de rodada são usadas junto com um nonce para gerar um fluxo de chaves executando operações de Add-Rotate-XOR (ARX). Por fim, o malware aplica XOR entre o fluxo de chaves gerado e os dados criptografados, em blocos de 16 bytes, para produzir a carga útil descriptografada.
Bloco de código 1 – geração de fluxo de chave da cifra Speck
Para evitar a detecção pelo software de segurança, o malware resolve dinamicamente as APIs Win32 necessárias para o detalhamento do processo.
Primeiro, o malware utiliza o CreateProcessW() para iniciar um processo em estado suspenso. Em seguida, desfaz o mapeamento da memória do processo suspenso com ZwUnmapViewOfSection() e escreve sua carga maliciosa nesse espaço de memória usando ZwWriteVirtualMemory(). Após realizar essas inicializações, o malware define o ponto de partida da carga útil com SetThreadContext() e chama ResumeThread() para executá-la.
Embora as informações sobre a distribuição geográfica das operações do QuirkyLoader tenham sido limitadas nos últimos meses, duas campanhas distintas foram descobertas em julho de 2025 visando Taiwan e México. A campanha em Taiwan teve como alvo específico os funcionários da Nusoft Taiwan, uma empresa de pesquisa em segurança de redes e internet, e distribuiu o Snake Keylogger que rouba informações. No México, a campanha teve como alvo indivíduos aleatórios, distribuindo tanto o Remcos RAT quanto o AsyncRAT.
O IBM X-Force descobriu IOCs de rede adicionais relacionados ao domínio usado para distribuir os e-mails de malspam. A investigação começou com o domínio catherinereynolds[.]info, que é resolvido para o endereço IP 157[.]66[.]225[.]11 e hospeda um cliente web Zimbra. Após uma inspeção mais detalhada, descobriu-se que o domínio usa um certificado SSL com o nome comum mail[.]catherinereynolds[.]info. Fazendo o pivot a partir deste certificado, os IPs 103[.]75[.]77[.]90 e 161[.]248[.]178[.]212 foram descobertos usando o mesmo certificado SSL.O X-Force tem muita confiança de que esses IPs adicionais estão relacionados, pois usam ISPs semelhantes, hospedam serviços semelhantes e compartilham o mesmo nome comum nos seus certificados SSL.
O QuirkyLoader é um novo carregador de malware que está distribuindo ativamente famílias de malware conhecidas, como Agent Tesla, AsyncRAT e Remcos. O agente da ameaça inicia uma infecção em vários estágios usando e-mails maliciosos contendo um arquivo compactado. Ao aproveitar o carregamento lateral de DLL, o malware executa seu módulo DLL principal, que é escrito em .NET e compilado com antecedência para disfarçar sua natureza. Em seguida, esse módulo descriptografa e injeta a carga útil final, demonstrando um método sofisticado para fornecer várias ameaças de malware.
Indicador
Tipo de indicador
Contexto
011257eb766f2539828bdd45
arquivo
Módulo DLL QuirkyLoader
0ea3a55141405ee0e2dfbf33
arquivo
Módulo DLL QuirkyLoader
a64a99b8451038f2bbcd32
arquivo
Módulo DLL QuirkyLoader
9726e5c7f9800b36b671b06
arquivo
Módulo DLL QuirkyLoader
a1994ba84e255eb02a6140c
arquivo
Módulo DLL QuirkyLoader
d954b235bde6ad02451cab
arquivo
Exemplo de e-mail do QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
arquivo
Exemplo de e-mail do QuirkyLoader
6f53c1780b92f3d5affcf095ae
arquivo
Exemplo de e-mail do QuirkyLoader
ea65cf2d5634a81f37d3241a7
arquivo
Exemplo de e-mail do QuirkyLoader
1b8c6d3268a5706fb41ddfff99
arquivo
Exemplo de e-mail do QuirkyLoader
d0a3a1ee914bcbfcf709d36741
arquivo
Exemplo de e-mail do QuirkyLoader
b22d878395ac2f2d927b78b16
arquivo
Exemplo de e-mail do QuirkyLoader
a83aa955608e9463f272adca
arquivo
Exemplo de e-mail do QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
arquivo
Exemplo de e-mail do QuirkyLoader
b2fdf10bd28c781ca354475be6
arquivo
Exemplo de e-mail do QuirkyLoader
bf3093f7453e4d0290511ea6a0
arquivo
Anexo de e-mail contendo QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
arquivo
Anexo de e-mail contendo QuirkyLoader
b42bc8b2aeec39f25babdcbbd
arquivo
Anexo de e-mail contendo QuirkyLoader
5aaf02e4348dc6e962ec54d5d
arquivo
Anexo de e-mail contendo QuirkyLoader
8e0770383c03ce6921079879
arquivo
Anexo de e-mail contendo QuirkyLoader
049ef50ec0fac1b99857a6d2b
arquivo
Anexo de e-mail contendo QuirkyLoader
cba8bb455d577314959602eb
arquivo
Anexo de e-mail contendo QuirkyLoader
catherinereynolds[.]info
Domínio
Domínio usado para campanha de spam malicioso
mail[.]catherinereynolds[.]info
Domínio
Domínio usado para campanha de spam malicioso
157[.]66[.]22[.]11
IPv4
Endereço IP catherinereynolds[.]info resolve para
103[.]75[.]77[.]90
IPv4
Endereço IP relacionado ao QuirkyLoader
161[.]248[.]178[.]212
IPv4
Endereço IP relacionado ao QuirkyLoader
IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e outras.
