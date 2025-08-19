Depuis novembre 2024, IBM X-Force a observé l’utilisation d’un nouveau loader, QuirkyLoader, pour diffuser des charges utiles supplémentaires sur des systèmes infectés. Parmi les familles de logiciels malveillants bien connues qui utilisent QuirkyLoader, on peut citer :

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

L’infection en plusieurs étapes commence par un e-mail. L’acteur de la menace utilise à la fois des fournisseurs de services de messagerie légitimes et un serveur de messagerie auto-hébergé pour envoyer des e-mails contenant une archive malveillante en pièce jointe. Cette archive contient trois composants clés : un exécutable légitime, une charge utile chiffrée et une DLL malveillante. L’acteur utilise le chargement latéral de la DLL, une technique où le lancement de l’exécutable légitime charge également la DLL malveillante. Cette DLL, à son tour, charge, déchiffre et injecte la charge utile finale dans son processus cible.

X-Force a observé que l’acteur de la menace écrit systématiquement le module du chargeur DLL dans les langages .NET et utilise une compilation anticipée (AOT). Ce processus compile le code en code machine natif avant son exécution, donnant l’impression que le binaire qui en résulte a été écrit en C ou C++.