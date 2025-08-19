Seit November 2024 beobachtet IBM X-Force einen neuen Loader, QuirkyLoader, der verwendet wird, um zusätzliche Nutzlasten an infizierte Systeme zu liefern. Zu den bekannten Malware-Familien, die QuirkyLoader verwenden, gehören unter anderem:

Agent Tesla

AsyncRAT

Formbuch

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

Die mehrstufige Infektion beginnt mit einer E-Mail. Der Bedrohungsakteur nutzt sowohl legitime E-Mail-Dienstanbieter als auch einen selbst gehosteten E-Mail-Server, um E-Mails mit einem bösartigen Archiv im Anhang zu versenden. Dieses Archiv enthält drei wichtige Komponenten: eine legitime ausführbare Datei, eine verschlüsselte Nutzlast und eine bösartige DLL. Der Akteur verwendet DLL-Seitenladen, eine Technik, bei der das Starten der legitimen ausführbaren Datei auch die bösartige DLL lädt. Diese DLL lädt, entschlüsselt und injiziert wiederum die letzte Nutzlast in ihren Zielprozess.

Insbesondere beobachtete X-Force, dass der Bedrohungsakteur das DLL-Loader-Modul durchgehend in .NET-Sprachen schreibt und eine Ahead-of-Time-Kompilierung (AOT) verwendet. Dieser Prozess kompiliert den Code vor der Ausführung in nativen Maschinencode, so dass die resultierende Binärdatei so aussieht, als wäre sie in C oder C++ geschrieben worden.