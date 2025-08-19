Sejak November 2024, IBM® X-Force telah mengamati loader baru, QuirkyLoader, digunakan untuk mengirimkan muatan tambahan ke sistem yang terinfeksi. Beberapa keluarga malware terkenal yang menggunakan QuirkyLoader meliputi:

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Keylogger Snake

Infeksi multi-tahap dimulai dengan email. Aktor ancaman menggunakan penyedia layanan email yang sah dan server email yang di-host sendiri untuk mengirim email dengan arsip berbahaya terlampir. Arsip ini berisi tiga komponen utama: eksekusi yang sah, muatan terenkripsi dan DLL berbahaya. Aktor menggunakan pemuatan samping DLL, teknik di mana meluncurkan eksekusi yang sah juga memuat DLL berbahaya. DLL ini, pada gilirannya, memuat, mendekripsi, dan menyuntikkan muatan akhir ke dalam proses targetnya.

Khususnya, X-Force mengamati bahwa aktor ancaman secara konsisten menulis modul pemuat DLL dalam bahasa.NET dan menggunakan kompilasi ahead-of-time (AOT). Proses ini mengkompilasi kode ke dalam kode mesin asli sebelum dieksekusi, membuat biner yang dihasilkan tampak seolah-olah ditulis dalam C atau C ++.