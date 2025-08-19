自 2024 年 11 月起，IBM X-Force 已监测到一款名为 QuirkyLoader 的新型加载器，其被用于向已受感染的系统投递额外恶意负载。借助 QuirkyLoader 传播的知名恶意软件家族包括：
多阶段感染从一封电子邮件开始。威胁行为者既使用合法的电子邮件服务提供商，也使用自托管的邮件服务器发送附带恶意压缩包的邮件。该压缩包包含三个关键组件：一个合法可执行文件、一个加密载荷和一个恶意 DLL。攻击者采用了 DLL 侧加载技术，即当启动合法可执行文件时，恶意 DLL 也会被加载。随后，该 DLL 会加载、解密最终载荷，并将其注入目标进程。
值得注意的是，X-Force 观察到威胁参与者始终用 .NET 语言编写 DLL 加载器模块，并使用提前编译（AOT）技术。该过程在执行前将代码编译成本地机器码，使得生成的二进制文件看起来像是用 C 或 C++ 编写的。
QuirkyLoader 感染链始于用户打开垃圾邮件附带的恶意压缩文件。该压缩包内含一个合法可执行文件、一个伪装成 DLL 的加密载荷以及一个 DLL 加载器模块。部分情况下，压缩包还会包含其他合法 DLL 以隐藏恶意模块。
执行该合法.EXE 文件后，感染流程将进入后续阶段。该可执行文件通过 DLL 侧载加载恶意 DLL。此恶意 DLL 随后会加载、解密最终负载并将其注入目标进程。其实现方式是对以下进程之一执行进程中空技术：AddInProcess32.exe、InstallUtil.exe 或 aspnet_wp.exe。
QuirkyLoader 的 DLL 模块始终使用 C# .NET 编写。它采用提前编译（AOT）技术进行编译：先将 C# 代码编译为微软中间语言（MSIL），再将 MSIL 编译成本机机器码。这项技术绕过了传统的 .NET 编译流程，即先将代码编译为 MSIL，再通过公共语言运行时转换为本机代码。因此，最终生成的二进制文件形似 C 或 C++ 编写的程序。
为加载加密的负载，该恶意软件会调用 Win32 API 接口 CreateFileW() 和 ReadFile()。随后，它通常会采用分组密码算法对存储恶意负载的缓冲区进行解密。
值得注意的是，其中一个变种采用 Speck-128 算法结合计数器（CTR）模式解密载荷，这种加密方式在恶意软件中并不常见。Speck 算法通过将主密钥扩展为多个轮密钥实现加密。它利用这些轮密钥与随机数值，通过执行加法+旋转+异或（ARX）运算生成密钥流。最终，恶意软件将生成的密钥流与加密数据按 16 字节块进行异或操作，从而得到解密后的载荷。
代码块 1 Speck 分组密码的密钥流生成
为规避安全软件的检测，该恶意软件会动态解析进程中空所需的 Win32 API。具体流程为：
首先，恶意软件调用 CreateProcessW() 以挂起状态启动一个进程。接着，通过 ZwUnmapViewOfSection() 解除该挂起进程的内存映射，并利用 ZwWriteVirtualMemory() 将自身的恶意负载写入该内存空间。完成这些初始化操作后，恶意软件通过 SetThreadContext() 设置恶意负载的起始执行点，最后调用 ResumeThread() 触发负载执行。
过去几个月关于 QuirkyLoader 攻击地理分布的信息有限，但 2025 年 7 月发现了两起分别针对台湾和墨西哥的独立攻击活动。在台湾的攻击活动专门针对网络安全研究公司 Nusoft Taiwan 的员工，并分发 Snake Keylogger 信息窃取木马。在墨西哥的攻击则随机针对个人用户，同时投放 Remcos 远程访问木马与 AsyncRAT。
IBM X-Force 已发现与恶意垃圾邮件分发域名相关的更多网络威胁指标。此次调查始于域名 catherinereynolds [.] info，该域名解析至 IP 地址 157 [.] 66 [.] 225 [.] 11，且搭载了 Zimbra 网页客户端。经深入核查发现，该域名使用的 SSL 证书包含通用名称 mail [.] catherinereynolds [.] info。以该证书为线索展开溯源后，X-Force 发现 IP 地址 103 [.] 75 [.] 77 [.] 90 和 161 [.] 248 [.] 178 [.] 212 同样在使用该 SSL 证书。X-Force 高度确信这些新增 IP 地址存在关联，原因在于它们使用相似的互联网服务提供商、托管同类服务，且 SSL 证书中包含相同的通用名称。
QuirkyLoader 是一种新型加载器恶意软件，正活跃分发 Agent Tesla、AsyncRAT 和 Remcos 等知名恶意软件家族。威胁参与者通过携带压缩文件的恶意邮件启动多阶段感染。该恶意软件利用 DLL 侧加载技术执行其核心 DLL 模块——该模块始终采用 .NET 编写并通过提前编译隐藏其本质。随后该模块解密并注入最终载荷，展现出一种投递多样化恶意威胁的复杂手法。
指示符
指标类型
情境化
011257eb766f2539828bdd45
文件
QuirkyLoader DLL 模块
0ea3a55141405ee0e2dfbf33
文件
QuirkyLoader DLL 模块
a64a99b8451038f2bbcd32
文件
QuirkyLoader DLL 模块
9726e5c7f9800b36b671b06
文件
QuirkyLoader DLL 模块
a1994ba84e255eb02a6140c
文件
QuirkyLoader DLL 模块
d954b235bde6ad02451cab
文件
QuirkyLoader 样本邮件
5d5b3e3b78aa25664fb2bfdb
文件
QuirkyLoader 样本邮件
6f53c1780b92f3d5affcf095ae
文件
QuirkyLoader 样本邮件
ea65cf2d5634a81f37d3241a7
文件
QuirkyLoader 样本邮件
1b8c6d3268a5706fb41ddfff99
文件
QuirkyLoader 样本邮件
d0a3a1ee914bcbfcf709d36741
文件
QuirkyLoader 样本邮件
b22d878395ac2f2d927b78b16
文件
QuirkyLoader 样本邮件
a83aa955608e9463f272adca
文件
QuirkyLoader 样本邮件
3391b0f865f4c13dcd9f08c6d3e
文件
QuirkyLoader 样本邮件
b2fdf10bd28c781ca354475be6
文件
QuirkyLoader 样本邮件
bf3093f7453e4d0290511ea6a0
文件
携带 QuirkyLoader 的邮件附件
97aee6ca1bc79064d21e1eb7b8
文件
携带 QuirkyLoader 的邮件附件
b42bc8b2aeec39f25babdcbbd
文件
携带 QuirkyLoader 的邮件附件
5aaf02e4348dc6e962ec54d5d
文件
携带 QuirkyLoader 的邮件附件
8e0770383c03ce6921079879
文件
携带 QuirkyLoader 的邮件附件
049ef50ec0fac1b99857a6d2b
文件
携带 QuirkyLoader 的邮件附件
cba8bb455d577314959602eb
文件
携带 QuirkyLoader 的邮件附件
catherinereynolds[.]info
域
用于恶意垃圾邮件活动的域
mail[.]catherinereynolds[.]info
域
用于恶意垃圾邮件活动的域
157[.]66[.]22[.]11
IPv4
域名 catherinereynolds [.] info 所解析的 IP 地址
103[.]75[.]77[.]90
IPv4
与 QuirkyLoader 相关的 IP 地址
161[.]248[.]178[.]212
IPv4
与 QuirkyLoader 相关的 IP 地址
IBM X-Force Premier Threat Intelligence 现已与 OpenCTI 集成，可提供有关此威胁活动及更多内容的可操作威胁情报。获取有关威胁参与者、恶意软件和行业风险的洞察分析。安装 OpenCTI Connector，借助 IBM X-Force 的专业能力增强威胁检测与响应效率，加固自身网络安全防线。保持领先，立即整合。
Think 时事通讯
加入安全领导者的行列，订阅 Think 时事通讯，获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器，我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
使用 IBM 威胁检测和响应解决方案来加强您的安全性并加速威胁检测。
使用 IBM MaaS360 的全面移动威胁防御解决方案，保护您的移动设备环境。