Sicherheit Server Netzwerk

IBM X-Force Bedrohungsanalyse: QuirkyLoader – Ein neuer Malware-Loader, der Infostealer und RATs ausliefert

Eine besorgt dreinblickende Frau mit den Händen vor dem Gesicht sitzt an einem Computer und blickt auf einen Laptop.

Seit November 2024 beobachtet IBM X-Force einen neuen Loader, QuirkyLoader, der verwendet wird, um zusätzliche Nutzlasten an infizierte Systeme zu liefern. Zu den bekannten Malware-Familien, die QuirkyLoader verwenden, gehören unter anderem:

  • Agent Tesla                  
  • AsyncRAT
  • Formbuch
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Snake Keylogger

Die mehrstufige Infektion beginnt mit einer E-Mail. Der Bedrohungsakteur nutzt sowohl legitime E-Mail-Dienstanbieter als auch einen selbst gehosteten E-Mail-Server, um E-Mails mit einem bösartigen Archiv im Anhang zu versenden. Dieses Archiv enthält drei wichtige Komponenten: eine legitime ausführbare Datei, eine verschlüsselte Nutzlast und eine bösartige DLL. Der Akteur verwendet DLL-Seitenladen, eine Technik, bei der das Starten der legitimen ausführbaren Datei auch die bösartige DLL lädt. Diese DLL lädt, entschlüsselt und injiziert wiederum die letzte Nutzlast in ihren Zielprozess.

Insbesondere beobachtete X-Force, dass der Bedrohungsakteur das DLL-Loader-Modul durchgehend in .NET-Sprachen schreibt und eine Ahead-of-Time-Kompilierung (AOT) verwendet. Dieser Prozess kompiliert den Code vor der Ausführung in nativen Maschinencode, so dass die resultierende Binärdatei so aussieht, als wäre sie in C oder C++ geschrieben worden.

Bedrohungsart

  • Loader

Analyse

Infektionskette

Die QuirkyLoader-Infektionskette beginnt, wenn ein Nutzer eine bösartige Archivdatei öffnet, die an eine Spam-E-Mail angehängt ist. Dieses Archiv enthält eine legitime ausführbare Datei, eine verschlüsselte Nutzlast, die als DLL getarnt ist, und ein DLL-Loader-Modul. In einigen Fällen enthält das Archiv andere legitime DLLs, um das bösartige Modul zu verbergen.

Wenn Sie die legitime EXE-Datei ausführen, werden die weiteren Schritte der Infektion eingeleitet. Die ausführbare Datei verwendet DLL-Sideloading, um die schädliche DLL zu laden. Diese DLL lädt, entschlüsselt und injiziert dann die endgültige Nutzdaten in einen Zielprozess. Dies geschieht durch die Durchführung von Process Hollowing bei einem der folgenden Prozesse: AddInProcess32.exe, InstallUtil.exe Oder aspnet_wp.exe.

ein Beispiel für eine E-Mail, die zur Verbreitung von Malware/Loader verwendet wird
Abbildung 1: Beispiel-E-Mail
ein Flussdiagramm, das die Infektionskette von QuirkyLoader zeigt
Abbildung 2: Infektionskette

DLL-Loader-Modul

​Das DLL-Modul von QuirkyLoader ist durchgehend in C# .NET geschrieben. Es wird mit der Ahead-of-Time-(AOT)-Kompilierung kompiliert, die den C#-Code zuerst in die Microsoft Intermediate Language (MSIL) kompiliert und anschließend den MSIL in nativen Maschinencode überführt. Diese Technik umgeht die traditionelle .NET-Methode, bei der zunächst Code in Microsoft Intermediate Language (MSIL) kompiliert und dann mit Common Language Laufzeit in nativen Code übersetzt wird. Das Ergebnis ist eine Binärdatei, die einem in C oder C++ geschriebenen Programm ähnelt.

Screenshot des Compilers und der Sprachidentifikation für eine .NET AOT-Binärform
Abbildung 3: Compiler- und Sprachidentifizierung für eine .NET AOT-Binärdatei

Um die verschlüsselte Nutzlast zu laden, ruft die Malware die Win32-APIs CreateFileW() und ReadFile() auf. Anschließend wird der Puffer mit der Nutzlast entschlüsselt, in der Regel mit einer Blockchiffre.

Interessanterweise verwendet eine Variante den Speck-128-Verschlüsselungsalgorithmus mit Zählermodus (CTR) zur Entschlüsselung der Nutzdaten, eine Methode, die von Malware nicht häufig verwendet wird. Die Speck-Chiffre funktioniert, indem der Hauptschlüssel in mehrere Rundenschlüssel aufgeteilt wird. Er verwendet diese runden Schlüssel zusammen mit einem Nonce, um einen Schlüsselstrom durch Add-Rotate-XOR (ARX)-Operationen zu erzeugen. Schließlich XOR-isiert die Malware den erzeugten Schlüsselstrom in 16-Byte-Blöcken gegen die verschlüsselten Daten, um die entschlüsselte Nutzlast zu erzeugen.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

Codeblock 1 Schlüsselstream-Generierung von Speck Cipher

Um der Erkennung durch Sicherheitssoftware zu entgehen, löst die Malware dynamisch die für das Process Hollowing erforderlichen Win32-APIs auf.

Erstens verwendet das Malware CreateProcessW(), um einen Prozess im suspendierten Zustand zu starten. Anschließend wird der Speicher des angehaltenen Prozesses mit ZwUnmapViewOfSection() freigegeben und die schädliche Nutzlast mit ZwWriteVirtualMemory() in diesen Speicherbereich geschrieben. Nach der Durchführung dieser Initialisierungen setzt die Malware mit SetThreadContext() den Startpunkt der Nutzlast und ruft ResumeThread() auf, um sie auszuführen.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

Viktimologie

Während die Informationen über die geografische Verteilung der Aktivitäten von QuirkyLoader in den letzten Monaten begrenzt waren, wurden im Juli 2025 zwei unterschiedliche Kampagnen entdeckt, die auf Taiwan und Mexiko abzielten. Die Kampagne in Taiwan zielte gezielt auf Mitarbeiter von Nusoft Taiwan, einem Unternehmen für Netzwerk- und Internetsicherheit mit Forschung, ab und verbreitete den Snake Keylogger, einen Infostealer. In Mexiko richtete sich die Kampagne nach dem Zufallsprinzip an Einzelpersonen und lieferte sowohl Remcos RAT als auch AsyncRAT.

Verwandte Netzwerkinfrastruktur

IBM X-Force entdeckte weitere Netzwerk-IOCs im Zusammenhang mit der Domain, die zur Verteilung der Malspam-E-Mails verwendet wurde. Die Ermittlungen begannen mit der Domain catherinereynolds[.]info. die auf die IP-Adresse 157[.] aufgelöst wird.66[.]225[.]11 und hostet einen Zimbra-Webclient. Bei genauerer Betrachtung stellte sich heraus, dass die Domain ein SSL-Zertifikat mit dem allgemeinen Namen mail[.]catherinereynolds[.]info verwendet. Ausgehend von diesem Zertifikat sind die IPs 103[.]75[.]77[.]90 und 161 [.] 248 [.] 178 [.] 212 Es wurde festgestellt, dass sie dasselbe SSL-Zertifikat verwendeten. X-Force ist sehr zuversichtlich, dass diese zusätzlichen IPs miteinander verwandt sind, da sie ähnliche ISPs nutzen, ähnliche Dienste hosten und denselben gemeinsamen Namen in ihren SSL-Zertifikaten teilen.

SSL-Zertifikat von catherinereynolds[.]info
Abbildung 4: SSL-Zertifikat von catherinereynolds[.]info

Zusammenfassung

QuirkyLoader ist eine neue Loader-Malware, die aktiv bekannte Malware-Familien wie Agent Tesla, AsyncRAT und Remcos verbreitet. Der Bedrohungsakteur initiiert eine mehrstufige Infektion mithilfe von bösartigen E-Mails, die eine Archivdatei enthalten. Durch die Nutzung von DLL-Sideloading führt die Malware ihr DLL-Kernmodul aus, das konsequent in .NET geschrieben und im Voraus kompiliert ist, um seine Natur zu verschleiern. Dieses Modul entschlüsselt und injiziert anschließend die endgültige Nutzlast und demonstriert damit eine ausgeklügelte Methode zur Verbreitung verschiedener Malware-Bedrohungen.

Empfehlungen

  • Nachrichten mit ausführbaren Anhängen blockieren
  • Vermeiden Sie es, unerwartete E-Mails zu öffnen
  • Vermeiden Sie das Öffnen von Dateien aus nicht vertrauenswürdigen Quellen.
  • Halten Sie Sicherheitsprodukte auf dem neuesten Stand und korrekt konfiguriert.
  • Da es sich bei den finalen Nutzdaten typischerweise um Infostealer und Remote-Zugriffstools handelt, sollte der ausgehende Netzwerkverkehr aktiv überwacht und untersucht werden.
  • Überwachen Sie das Verhalten der folgenden legitimen Prozesse genau, da diese häufige Ziele für Process Hollowing durch QuirkyLoader sind:
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

Indikatoren für Kompromittierung

Indikator

Art des Indikators

Kontext

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

Datei

QuirkyLoader DLL-Modul

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

Datei

QuirkyLoader DLL-Modul

A64A99B8451038F2BBCD32
2fd729edf5e6ae0eb70a244
e342B2F8eff12219D03

Datei

QuirkyLoader DLL-Modul

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85BD1306

Datei

QuirkyLoader DLL-Modul

a1994ba84e255eb02a6140c
ab9fc4DD9A6371A84B1DD631
bd649525ac247c111

Datei

QuirkyLoader DLL-Modul

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

Datei

Beispiel-E-Mail von QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

Datei

Beispiel-E-Mail von QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

Datei

Beispiel-E-Mail von QuirkyLoader

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

Datei

Beispiel-E-Mail von QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

Datei

Beispiel-E-Mail von QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

Datei

Beispiel-E-Mail von QuirkyLoader

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

Datei

Beispiel-E-Mail von QuirkyLoader

A83AA955608e9463F272ADCA
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

Datei

Beispiel-E-Mail von QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

Datei

Beispiel-E-Mail von QuirkyLoader

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

Datei

Beispiel-E-Mail von QuirkyLoader

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

Datei

E-Mail-Anhang mit QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

Datei

E-Mail-Anhang mit QuirkyLoader

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

Datei

E-Mail-Anhang mit QuirkyLoader

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25DC

Datei

E-Mail-Anhang mit QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

Datei

E-Mail-Anhang mit QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

Datei

E-Mail-Anhang mit QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

Datei

E-Mail-Anhang mit QuirkyLoader

catherinereynolds[.]info

Domäne

Domain für Malspam-Kampagne verwendet

mail[.]catherinereynolds[.]info

Domäne

Domain für Malspam-Kampagne verwendet

157[.]66[.]22[.]11

IPv4

IP-Adresse, die catherinereynolds[.]info beschließt zu

103[.]75[.]77[.]90

IPv4

IP-Adresse im Zusammenhang mit QuirkyLoader

161[.]248[.]178[.]212

IPv4

IP-Adresse im Zusammenhang mit QuirkyLoader

IBM X-Force Premier Threat-Intelligence ist jetzt in OpenCTI integriert und liefert umsetzbare Threat-Intelligence zu dieser und weiteren Bedrohungsaktivitäten. Erhalten Sie Erkenntnisse in Bedrohungsakteure, Malware und Branchenrisiken. Installieren Sie den OpenCTI Connector, um Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Bleiben Sie einen Schritt voraus –integrieren Sie noch heute.

