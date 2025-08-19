Sejak November 2024, IBM® X-Force telah mengamati loader baru, QuirkyLoader, digunakan untuk mengirimkan muatan tambahan ke sistem yang terinfeksi. Beberapa keluarga malware terkenal yang menggunakan QuirkyLoader meliputi:
Infeksi multi-tahap dimulai dengan email. Aktor ancaman menggunakan penyedia layanan email yang sah dan server email yang di-host sendiri untuk mengirim email dengan arsip berbahaya terlampir. Arsip ini berisi tiga komponen utama: eksekusi yang sah, muatan terenkripsi dan DLL berbahaya. Aktor menggunakan pemuatan samping DLL, teknik di mana meluncurkan eksekusi yang sah juga memuat DLL berbahaya. DLL ini, pada gilirannya, memuat, mendekripsi, dan menyuntikkan muatan akhir ke dalam proses targetnya.
Khususnya, X-Force mengamati bahwa aktor ancaman secara konsisten menulis modul pemuat DLL dalam bahasa.NET dan menggunakan kompilasi ahead-of-time (AOT). Proses ini mengkompilasi kode ke dalam kode mesin asli sebelum dieksekusi, membuat biner yang dihasilkan tampak seolah-olah ditulis dalam C atau C ++.
Rantai infeksi QuirkyLoader dimulai ketika pengguna membuka file arsip berbahaya yang dilampirkan ke email spam. Arsip ini berisi file yang dapat dieksekusi yang sah, muatan terenkripsi yang disamarkan sebagai DLL dan modul pemuat DLL. Dalam beberapa kasus, arsip menyertakan DLL sah lainnya untuk menyembunyikan modul berbahaya.
Menjalankan file .exe yang sah memulai tahap infeksi selanjutnya. File executable menggunakan side-loading DLL untuk memuat DLL berbahaya. DLL ini kemudian memuat, mendekripsi, dan menginjeksikan payload akhir ke dalam proses target. DLL tersebut melakukannya dengan menjalankan penyamaran proses pada salah satu proses berikut: AddInProcess32.exe, InstallUtil.exe atau aspnet_wp.exe.
Modul DLL QuirkyLoader secara konsisten ditulis dalam .NET C#. Skrip ini dikompilasi menggunakan kompilasi Ahead-of-Time (AOT), yang mengompilasi kode C # ke dalam Microsoft Intermediate Language (MSIL) terlebih dahulu, dan kemudian mengompilasi MSIL ke dalam kode mesin native. Teknik ini melewati metode .NET tradisional yang terlebih dahulu mengompilasi kode ke Microsoft Intermediate Language (MSIL) dan kemudian menggunakan Common Language Runtime (CLR) untuk mengubahnya ke kode native. Hasilnya, biner akhir menyerupai program yang ditulis dalam C atau C++.
Untuk memuat muatan terenkripsi, malware memanggil API Win32 CreateFileW() dan ReadFile(). Kemudian mendekripsi buffer yang berisi muatan, biasanya menggunakan cipher blok.
Menariknya, satu varian menggunakan cipher Speck-128 dengan mode Counter (CTR) untuk mendekripsi muatan, metode yang tidak umum digunakan oleh malware. Cipher Speck bekerja dengan memperluas kunci master menjadi beberapa kunci bulat. Ini menggunakan kunci bulat ini bersama dengan nonce untuk menghasilkan keystream dengan melakukan operasi add-rotate-XOR (ARX). Akhirnya, malware XOR keystream yang dihasilkan terhadap data terenkripsi dalam blok 16-byte untuk menghasilkan muatan yang didekripsi.
Blok kode 1 Pembuatan Aliran Kunci dari Speck Cipher
Untuk menghindari deteksi oleh perangkat lunak keamanan, malware secara dinamis menyelesaikan API Win32 yang diperlukan untuk proses lubang.
Pertama, malware menggunakan createProcessW () untuk meluncurkan proses dalam keadaan ditangguhkan. Setelah itu, malware melepaskan memori proses yang sedang ditangguhkan tersebut menggunakan ZwUnmapViewOfSection() lalu menuliskan payload berbahaya ke dalam ruang memori itu dengan ZwWriteVirtualMemory(). Setelah melakukan inisialisasi ini, malware menetapkan titik awal muatan dengan setThreadContext() dan memanggil ResumeThread () untuk menjalankannya.
Sementara informasi mengenai distribusi geografis operasi QuirkyLoader telah terbatas selama beberapa bulan terakhir, dua kampanye berbeda ditemukan pada Juli 2025 yang menargetkan Taiwan dan Meksiko. Kampanye di Taiwan secara khusus menargetkan karyawan Nusoft Taiwan, sebuah perusahaan riset keamanan jaringan dan internet, dan mendistribusikan infostealer Snake Keylogger. Di Meksiko, kampanye secara acak menargetkan individu, memberikan Remcos RAT dan AsyncRAT.
IBM® X-Force menemukan IOC jaringan tambahan yang terkait dengan domain yang digunakan untuk mendistribusikan email malspam. Investigasi dimulai dengan domain catherinereynolds [.]info, yang terselesaikan ke alamat IP 157[.]66[.]225[.]11 dan menghosting klien web Zimbra. Setelah diperiksa lebih dekat, ditemukan bahwa domain menggunakan sertifikat SSL dengan nama umum mail[.] catherinereynolds [.]info. Setelah menelusuri sertifikat ini, iPS 103[.]75[.]77[.]90 dan 161[.]248[.]178[.]212 ditemukan menggunakan sertifikat SSL yang sama. X-Force sangat yakin bahwa IP tambahan ini terkait karena mereka menggunakan ISP serupa, menghosting layanan serupa dan berbagi nama umum yang sama dalam sertifikat SSL mereka.
QuirkyLoader adalah malware loader baru yang secara aktif mendistribusikan keluarga malware terkenal seperti Agen Tesla, AsyncRAT dan Remcos. Aktor ancaman memulai infeksi multi-tahap menggunakan email berbahaya yang berisi file arsip. Dengan memanfaatkan pemuatan samping DLL, malware mengeksekusi modul DLL intinya, yang secara konsisten ditulis di.NET dan dikompilasi sebelumnya untuk menyamarkan sifatnya. Modul ini kemudian mendekripsi dan menyuntikkan muatan akhir, menunjukkan metode canggih untuk mengirimkan berbagai ancaman malware.
Indikator
Jenis Indikator
Konteks
011257eb766f2539828bdd45
File
Modul DLL QuirkyLoader
0ea3a55141405ee0e2dfbf33
File
Modul DLL QuirkyLoader
a64a99b8451038f2bbcd32
File
Modul DLL QuirkyLoader
9726e5c7f9800b36b671b06
File
Modul DLL QuirkyLoader
a1994ba84e255eb02a6140c
File
Modul DLL QuirkyLoader
d954b235bde6ad02451cab
File
Contoh email QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
File
Contoh email QuirkyLoader
6f53c1780b92f3d5affcf095ae
File
Contoh email QuirkyLoader
ea65cf2d5634a81f37d3241a7
File
Contoh email QuirkyLoader
1b8c6d3268a5706fb41ddfff99
File
Contoh email QuirkyLoader
d0a3a1ee914bcbfcf709d36741
File
Contoh email QuirkyLoader
b22d878395ac2f2d927b78b16
File
Contoh email QuirkyLoader
a83aa955608e9463f272adca
File
Contoh email QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
File
Contoh email QuirkyLoader
b2fdf10bd28c781ca354475be6
File
Contoh email QuirkyLoader
bf3093f7453e4d0290511ea6a0
File
Lampiran email yang berisi QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
File
Lampiran email yang berisi QuirkyLoader
b42bc8b2aeec39f25babdcbbd
File
Lampiran email yang berisi QuirkyLoader
5aaf02e4348dc6e962ec54d5d
File
Lampiran email yang berisi QuirkyLoader
8e0770383c03ce6921079879
File
Lampiran email yang berisi QuirkyLoader
049ef50ec0fac1b99857a6d2b
File
Lampiran email yang berisi QuirkyLoader
cba8bb455d577314959602eb
File
Lampiran email yang berisi QuirkyLoader
catherinereynolds[.]info
Domain
Domain yang digunakan untuk kampanye malspam
mail[.]catherinereynolds[.]info
Domain
Domain yang digunakan untuk kampanye malspam
157[.]66[.]22[.]11
IPv4
Alamat IP yang catherinereynolds[.]info memutuskan untuk
103[.]75[.]77[.]90
IPv4
Alamat IP terkait dengan QuirkyLoader
161[.]248[.]178[.]212
IPv4
Alamat IP terkait dengan QuirkyLoader
