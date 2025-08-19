Seit November 2024 beobachtet IBM X-Force einen neuen Loader, QuirkyLoader, der verwendet wird, um zusätzliche Nutzlasten an infizierte Systeme zu liefern. Zu den bekannten Malware-Familien, die QuirkyLoader verwenden, gehören unter anderem:
Die mehrstufige Infektion beginnt mit einer E-Mail. Der Bedrohungsakteur nutzt sowohl legitime E-Mail-Dienstanbieter als auch einen selbst gehosteten E-Mail-Server, um E-Mails mit einem bösartigen Archiv im Anhang zu versenden. Dieses Archiv enthält drei wichtige Komponenten: eine legitime ausführbare Datei, eine verschlüsselte Nutzlast und eine bösartige DLL. Der Akteur verwendet DLL-Seitenladen, eine Technik, bei der das Starten der legitimen ausführbaren Datei auch die bösartige DLL lädt. Diese DLL lädt, entschlüsselt und injiziert wiederum die letzte Nutzlast in ihren Zielprozess.
Insbesondere beobachtete X-Force, dass der Bedrohungsakteur das DLL-Loader-Modul durchgehend in .NET-Sprachen schreibt und eine Ahead-of-Time-Kompilierung (AOT) verwendet. Dieser Prozess kompiliert den Code vor der Ausführung in nativen Maschinencode, so dass die resultierende Binärdatei so aussieht, als wäre sie in C oder C++ geschrieben worden.
Die QuirkyLoader-Infektionskette beginnt, wenn ein Nutzer eine bösartige Archivdatei öffnet, die an eine Spam-E-Mail angehängt ist. Dieses Archiv enthält eine legitime ausführbare Datei, eine verschlüsselte Nutzlast, die als DLL getarnt ist, und ein DLL-Loader-Modul. In einigen Fällen enthält das Archiv andere legitime DLLs, um das bösartige Modul zu verbergen.
Wenn Sie die legitime EXE-Datei ausführen, werden die weiteren Schritte der Infektion eingeleitet. Die ausführbare Datei verwendet DLL-Sideloading, um die schädliche DLL zu laden. Diese DLL lädt, entschlüsselt und injiziert dann die endgültige Nutzdaten in einen Zielprozess. Dies geschieht durch die Durchführung von Process Hollowing bei einem der folgenden Prozesse: AddInProcess32.exe, InstallUtil.exe Oder aspnet_wp.exe.
Das DLL-Modul von QuirkyLoader ist durchgehend in C# .NET geschrieben. Es wird mit der Ahead-of-Time-(AOT)-Kompilierung kompiliert, die den C#-Code zuerst in die Microsoft Intermediate Language (MSIL) kompiliert und anschließend den MSIL in nativen Maschinencode überführt. Diese Technik umgeht die traditionelle .NET-Methode, bei der zunächst Code in Microsoft Intermediate Language (MSIL) kompiliert und dann mit Common Language Laufzeit in nativen Code übersetzt wird. Das Ergebnis ist eine Binärdatei, die einem in C oder C++ geschriebenen Programm ähnelt.
Um die verschlüsselte Nutzlast zu laden, ruft die Malware die Win32-APIs CreateFileW() und ReadFile() auf. Anschließend wird der Puffer mit der Nutzlast entschlüsselt, in der Regel mit einer Blockchiffre.
Interessanterweise verwendet eine Variante den Speck-128-Verschlüsselungsalgorithmus mit Zählermodus (CTR) zur Entschlüsselung der Nutzdaten, eine Methode, die von Malware nicht häufig verwendet wird. Die Speck-Chiffre funktioniert, indem der Hauptschlüssel in mehrere Rundenschlüssel aufgeteilt wird. Er verwendet diese runden Schlüssel zusammen mit einem Nonce, um einen Schlüsselstrom durch Add-Rotate-XOR (ARX)-Operationen zu erzeugen. Schließlich XOR-isiert die Malware den erzeugten Schlüsselstrom in 16-Byte-Blöcken gegen die verschlüsselten Daten, um die entschlüsselte Nutzlast zu erzeugen.
Codeblock 1 Schlüsselstream-Generierung von Speck Cipher
Um der Erkennung durch Sicherheitssoftware zu entgehen, löst die Malware dynamisch die für das Process Hollowing erforderlichen Win32-APIs auf.
Erstens verwendet das Malware CreateProcessW(), um einen Prozess im suspendierten Zustand zu starten. Anschließend wird der Speicher des angehaltenen Prozesses mit ZwUnmapViewOfSection() freigegeben und die schädliche Nutzlast mit ZwWriteVirtualMemory() in diesen Speicherbereich geschrieben. Nach der Durchführung dieser Initialisierungen setzt die Malware mit SetThreadContext() den Startpunkt der Nutzlast und ruft ResumeThread() auf, um sie auszuführen.
Während die Informationen über die geografische Verteilung der Aktivitäten von QuirkyLoader in den letzten Monaten begrenzt waren, wurden im Juli 2025 zwei unterschiedliche Kampagnen entdeckt, die auf Taiwan und Mexiko abzielten. Die Kampagne in Taiwan zielte gezielt auf Mitarbeiter von Nusoft Taiwan, einem Unternehmen für Netzwerk- und Internetsicherheit mit Forschung, ab und verbreitete den Snake Keylogger, einen Infostealer. In Mexiko richtete sich die Kampagne nach dem Zufallsprinzip an Einzelpersonen und lieferte sowohl Remcos RAT als auch AsyncRAT.
IBM X-Force entdeckte weitere Netzwerk-IOCs im Zusammenhang mit der Domain, die zur Verteilung der Malspam-E-Mails verwendet wurde. Die Ermittlungen begannen mit der Domain catherinereynolds[.]info. die auf die IP-Adresse 157[.] aufgelöst wird.66[.]225[.]11 und hostet einen Zimbra-Webclient. Bei genauerer Betrachtung stellte sich heraus, dass die Domain ein SSL-Zertifikat mit dem allgemeinen Namen mail[.]catherinereynolds[.]info verwendet. Ausgehend von diesem Zertifikat sind die IPs 103[.]75[.]77[.]90 und 161 [.] 248 [.] 178 [.] 212 Es wurde festgestellt, dass sie dasselbe SSL-Zertifikat verwendeten. X-Force ist sehr zuversichtlich, dass diese zusätzlichen IPs miteinander verwandt sind, da sie ähnliche ISPs nutzen, ähnliche Dienste hosten und denselben gemeinsamen Namen in ihren SSL-Zertifikaten teilen.
QuirkyLoader ist eine neue Loader-Malware, die aktiv bekannte Malware-Familien wie Agent Tesla, AsyncRAT und Remcos verbreitet. Der Bedrohungsakteur initiiert eine mehrstufige Infektion mithilfe von bösartigen E-Mails, die eine Archivdatei enthalten. Durch die Nutzung von DLL-Sideloading führt die Malware ihr DLL-Kernmodul aus, das konsequent in .NET geschrieben und im Voraus kompiliert ist, um seine Natur zu verschleiern. Dieses Modul entschlüsselt und injiziert anschließend die endgültige Nutzlast und demonstriert damit eine ausgeklügelte Methode zur Verbreitung verschiedener Malware-Bedrohungen.
Indikator
Art des Indikators
Kontext
011257eb766f2539828bdd45
Datei
QuirkyLoader DLL-Modul
0ea3a55141405ee0e2dfbf33
Datei
QuirkyLoader DLL-Modul
A64A99B8451038F2BBCD32
Datei
QuirkyLoader DLL-Modul
9726e5c7f9800b36b671b06
Datei
QuirkyLoader DLL-Modul
a1994ba84e255eb02a6140c
Datei
QuirkyLoader DLL-Modul
d954b235bde6ad02451cab
Datei
Beispiel-E-Mail von QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
Datei
Beispiel-E-Mail von QuirkyLoader
6f53c1780b92f3d5affcf095ae
Datei
Beispiel-E-Mail von QuirkyLoader
ea65cf2d5634a81f37d3241a7
Datei
Beispiel-E-Mail von QuirkyLoader
1b8c6d3268a5706fb41ddfff99
Datei
Beispiel-E-Mail von QuirkyLoader
d0a3a1ee914bcbfcf709d36741
Datei
Beispiel-E-Mail von QuirkyLoader
b22d878395ac2f2d927b78b16
Datei
Beispiel-E-Mail von QuirkyLoader
A83AA955608e9463F272ADCA
Datei
Beispiel-E-Mail von QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
Datei
Beispiel-E-Mail von QuirkyLoader
b2fdf10bd28c781ca354475be6
Datei
Beispiel-E-Mail von QuirkyLoader
bf3093f7453e4d0290511ea6a0
Datei
E-Mail-Anhang mit QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
Datei
E-Mail-Anhang mit QuirkyLoader
b42bc8b2aeec39f25babdcbbd
Datei
E-Mail-Anhang mit QuirkyLoader
5aaf02e4348dc6e962ec54d5d
Datei
E-Mail-Anhang mit QuirkyLoader
8e0770383c03ce6921079879
Datei
E-Mail-Anhang mit QuirkyLoader
049ef50ec0fac1b99857a6d2b
Datei
E-Mail-Anhang mit QuirkyLoader
cba8bb455d577314959602eb
Datei
E-Mail-Anhang mit QuirkyLoader
catherinereynolds[.]info
Domäne
Domain für Malspam-Kampagne verwendet
mail[.]catherinereynolds[.]info
Domäne
Domain für Malspam-Kampagne verwendet
157[.]66[.]22[.]11
IPv4
IP-Adresse, die catherinereynolds[.]info beschließt zu
103[.]75[.]77[.]90
IPv4
IP-Adresse im Zusammenhang mit QuirkyLoader
161[.]248[.]178[.]212
IPv4
IP-Adresse im Zusammenhang mit QuirkyLoader
