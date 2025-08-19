自 2024 年 11 月起，IBM X-Force 已监测到一款名为 QuirkyLoader 的新型加载器，其被用于向已受感染的系统投递额外恶意负载。借助 QuirkyLoader 传播的知名恶意软件家族包括：

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

多阶段感染从一封电子邮件开始。威胁行为者既使用合法的电子邮件服务提供商，也使用自托管的邮件服务器发送附带恶意压缩包的邮件。该压缩包包含三个关键组件：一个合法可执行文件、一个加密载荷和一个恶意 DLL。攻击者采用了 DLL 侧加载技术，即当启动合法可执行文件时，恶意 DLL 也会被加载。随后，该 DLL 会加载、解密最终载荷，并将其注入目标进程。

值得注意的是，X-Force 观察到威胁参与者始终用 .NET 语言编写 DLL 加载器模块，并使用提前编译（AOT）技术。该过程在执行前将代码编译成本地机器码，使得生成的二进制文件看起来像是用 C 或 C++ 编写的。