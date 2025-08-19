Tag
Keamanan Komputasi dan server Jaringan

Analisis Ancaman X-Force IBM®: QuirkyLoader - Pemuat malware baru yang menghadirkan infostealer dan RAT

Sejak November 2024, IBM® X-Force telah mengamati loader baru, QuirkyLoader, digunakan untuk mengirimkan muatan tambahan ke sistem yang terinfeksi. Beberapa keluarga malware terkenal yang menggunakan QuirkyLoader meliputi:

  • Agent Tesla                  
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Keylogger Snake

Infeksi multi-tahap dimulai dengan email. Aktor ancaman menggunakan penyedia layanan email yang sah dan server email yang di-host sendiri untuk mengirim email dengan arsip berbahaya terlampir. Arsip ini berisi tiga komponen utama: eksekusi yang sah, muatan terenkripsi dan DLL berbahaya. Aktor menggunakan pemuatan samping DLL, teknik di mana meluncurkan eksekusi yang sah juga memuat DLL berbahaya. DLL ini, pada gilirannya, memuat, mendekripsi, dan menyuntikkan muatan akhir ke dalam proses targetnya.

Khususnya, X-Force mengamati bahwa aktor ancaman secara konsisten menulis modul pemuat DLL dalam bahasa.NET dan menggunakan kompilasi ahead-of-time (AOT). Proses ini mengkompilasi kode ke dalam kode mesin asli sebelum dieksekusi, membuat biner yang dihasilkan tampak seolah-olah ditulis dalam C atau C ++.

Jenis ancaman

  • Loader

Analisis

Rantai infeksi

Rantai infeksi QuirkyLoader dimulai ketika pengguna membuka file arsip berbahaya yang dilampirkan ke email spam. Arsip ini berisi file yang dapat dieksekusi yang sah, muatan terenkripsi yang disamarkan sebagai DLL dan modul pemuat DLL. Dalam beberapa kasus, arsip menyertakan DLL sah lainnya untuk menyembunyikan modul berbahaya.

Menjalankan file .exe yang sah memulai tahap infeksi selanjutnya. File executable menggunakan side-loading DLL untuk memuat DLL berbahaya. DLL ini kemudian memuat, mendekripsi, dan menginjeksikan payload akhir ke dalam proses target. DLL tersebut melakukannya dengan menjalankan penyamaran proses pada salah satu proses berikut: AddInProcess32.exe, InstallUtil.exe atau aspnet_wp.exe.

contoh email yang digunakan untuk mengirimkan malware/loader
Gambar 1: Contoh email
diagram alir yang menunjukkan rantai infeksi QuirkyLoader
Gambar 2: Rantai infeksi

Modul loader DLL

​Modul DLL QuirkyLoader secara konsisten ditulis dalam .NET C#. Skrip ini dikompilasi menggunakan kompilasi Ahead-of-Time (AOT), yang mengompilasi kode C # ke dalam Microsoft Intermediate Language (MSIL) terlebih dahulu, dan kemudian mengompilasi MSIL ke dalam kode mesin native. Teknik ini melewati metode .NET tradisional yang terlebih dahulu mengompilasi kode ke Microsoft Intermediate Language (MSIL) dan kemudian menggunakan Common Language Runtime (CLR) untuk mengubahnya ke kode native. Hasilnya, biner akhir menyerupai program yang ditulis dalam C atau C++.

tangkapan layar kompiler dan identifikasi bahasa untuk biner .NET AOT
Gambar 3: Identifikasi kompiler dan bahasa untuk biner.NET AOT

Untuk memuat muatan terenkripsi, malware memanggil API Win32 CreateFileW() dan ReadFile(). Kemudian mendekripsi buffer yang berisi muatan, biasanya menggunakan cipher blok.

Menariknya, satu varian menggunakan cipher Speck-128 dengan mode Counter (CTR) untuk mendekripsi muatan, metode yang tidak umum digunakan oleh malware. Cipher Speck bekerja dengan memperluas kunci master menjadi beberapa kunci bulat. Ini menggunakan kunci bulat ini bersama dengan nonce untuk menghasilkan keystream dengan melakukan operasi add-rotate-XOR (ARX). Akhirnya, malware XOR keystream yang dihasilkan terhadap data terenkripsi dalam blok 16-byte untuk menghasilkan muatan yang didekripsi.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

Blok kode 1 Pembuatan Aliran Kunci dari Speck Cipher

Untuk menghindari deteksi oleh perangkat lunak keamanan, malware secara dinamis menyelesaikan API Win32 yang diperlukan untuk proses lubang.

Pertama, malware menggunakan createProcessW () untuk meluncurkan proses dalam keadaan ditangguhkan. Setelah itu, malware melepaskan memori proses yang sedang ditangguhkan tersebut menggunakan ZwUnmapViewOfSection() lalu menuliskan payload berbahaya ke dalam ruang memori itu dengan ZwWriteVirtualMemory(). Setelah melakukan inisialisasi ini, malware menetapkan titik awal muatan dengan setThreadContext() dan memanggil ResumeThread () untuk menjalankannya.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

Viktimologi

Sementara informasi mengenai distribusi geografis operasi QuirkyLoader telah terbatas selama beberapa bulan terakhir, dua kampanye berbeda ditemukan pada Juli 2025 yang menargetkan Taiwan dan Meksiko. Kampanye di Taiwan secara khusus menargetkan karyawan Nusoft Taiwan, sebuah perusahaan riset keamanan jaringan dan internet, dan mendistribusikan infostealer Snake Keylogger. Di Meksiko, kampanye secara acak menargetkan individu, memberikan Remcos RAT dan AsyncRAT.

Infrastruktur jaringan terkait

IBM® X-Force menemukan IOC jaringan tambahan yang terkait dengan domain yang digunakan untuk mendistribusikan email malspam. Investigasi dimulai dengan domain catherinereynolds [.]info, yang terselesaikan ke alamat IP 157[.]66[.]225[.]11 dan menghosting klien web Zimbra. Setelah diperiksa lebih dekat, ditemukan bahwa domain menggunakan sertifikat SSL dengan nama umum mail[.] catherinereynolds [.]info. Setelah menelusuri sertifikat ini, iPS 103[.]75[.]77[.]90 dan 161[.]248[.]178[.]212 ditemukan menggunakan sertifikat SSL yang sama. X-Force sangat yakin bahwa IP tambahan ini terkait karena mereka menggunakan ISP serupa, menghosting layanan serupa dan berbagi nama umum yang sama dalam sertifikat SSL mereka.

Sertifikat SSL dari catherinereynolds[.]info
Gambar 4: Sertifikat SSL catherinereynolds [.] info

Kesimpulan

QuirkyLoader adalah malware loader baru yang secara aktif mendistribusikan keluarga malware terkenal seperti Agen Tesla, AsyncRAT dan Remcos. Aktor ancaman memulai infeksi multi-tahap menggunakan email berbahaya yang berisi file arsip. Dengan memanfaatkan pemuatan samping DLL, malware mengeksekusi modul DLL intinya, yang secara konsisten ditulis di.NET dan dikompilasi sebelumnya untuk menyamarkan sifatnya. Modul ini kemudian mendekripsi dan menyuntikkan muatan akhir, menunjukkan metode canggih untuk mengirimkan berbagai ancaman malware.

Rekomendasi

  • Memblokir pesan dengan lampiran yang dapat dieksekusi
  • Hindari membuka email yang tidak terduga
  • Hindari membuka file yang berasal dari sumber yang tidak dipercaya
  • Jaga agar produk keamanan tetap mutakhir dan dikonfigurasi dengan benar
  • Karena muatan akhir biasanya adalah infostealer dan alat akses jarak jauh, secara aktif memantau dan memeriksa lalu lintas jaringan keluar
  • Pantau dengan cermat perilaku proses sah berikut, karena merupakan target umum untuk proses hollowing oleh QuirkyLoader:
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

Indikator kompromi

Indikator

Jenis Indikator

Konteks

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

File

Modul DLL QuirkyLoader

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

File

Modul DLL QuirkyLoader

a64a99b8451038f2bbcd32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

File

Modul DLL QuirkyLoader

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

File

Modul DLL QuirkyLoader

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
bd649525ac247c111

File

Modul DLL QuirkyLoader

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

File

Contoh email QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

File

Contoh email QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

File

Contoh email QuirkyLoader

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

File

Contoh email QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

File

Contoh email QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

File

Contoh email QuirkyLoader

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

File

Contoh email QuirkyLoader

a83aa955608e9463f272adca
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

File

Contoh email QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

File

Contoh email QuirkyLoader

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

File

Contoh email QuirkyLoader

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

File

Lampiran email yang berisi QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

File

Lampiran email yang berisi QuirkyLoader

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

File

Lampiran email yang berisi QuirkyLoader

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

File

Lampiran email yang berisi QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

File

Lampiran email yang berisi QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

File

Lampiran email yang berisi QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

File

Lampiran email yang berisi QuirkyLoader

catherinereynolds[.]info

Domain

Domain yang digunakan untuk kampanye malspam

mail[.]catherinereynolds[.]info

Domain

Domain yang digunakan untuk kampanye malspam

157[.]66[.]22[.]11

IPv4

Alamat IP yang catherinereynolds[.]info memutuskan untuk

103[.]75[.]77[.]90

IPv4

Alamat IP terkait dengan QuirkyLoader

161[.]248[.]178[.]212

IPv4

Alamat IP terkait dengan QuirkyLoader

IBM® X-Force Premier Threat Intelligence sekarang terintegrasi dengan OpenCTI, memberikan intelijen ancaman yang dapat ditindaklanjuti tentang aktivitas ancaman ini dan banyak lagi. Akses insight tentang pelaku ancaman, malware, dan risiko industri. Instal OpenCTI Connector untuk meningkatkan deteksi dan respons, memperkuat keamanan siber Anda dengan keahlian IBM® X-Force. Tetap di depan —integrasikan hari ini.

