IBM X-Force Threat Analysis: QuirkyLoader - Un nuovo caricatore di malware che distribuisce infostealer e RAT

Una donna seduta al computer, con le mani sul viso, sembra preoccupata e guarda un laptop

Da novembre 2024, IBM X-Force ha osservato l'utilizzo di un nuovo caricatore, QuirkyLoader, per distribuire payload aggiuntivi ai sistemi infetti. Alcune delle famiglie malware più note che utilizzano QuirkyLoader includono:

  • Agent Tesla                  
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Snake Keylogger

L'infezione a più fasi inizia con un e-mail. L'attore della minaccia utilizza sia provider di servizi e-mail legittimi che un server e-mail self-hosted per inviare e-mail con un archivio malevolo allegato. Questo archivio contiene tre componenti chiave: un file eseguibile legittimo, un payload crittografato e una DLL dannosa. L'attore utilizza il side-loading della DLL, una tecnica in cui l'avvio dell'eseguibile legittimo carica anche la DLL dannosa. Questa DLL, a sua volta, carica, decripta e inserisce il payload finale nel processo di destinazione.

In particolare, X-Force ha osservato che l'attore delle minacce scrive costantemente il modulo DLL loader in linguaggi .NET e utilizza la compilazione ahead-of-time (AOT). Questo processo compila il codice in codice macchina nativo prima dell'esecuzione, facendo apparire il binario risultante come scritto in C o C++.

Tipo di minaccia

  • Caricatore

Analisi

Catena di infezione

La catena di infezione di QuirkyLoader inizia quando un utente apre un file di archivio malevolo allegato a un'e-mail di spam. Questo archivio contiene un file eseguibile legittimo, un payload crittografato mascherato da DLL e un modulo di caricamento DLL. In alcuni casi, l'archivio include altre DLL legittime per nascondere il modulo malevolo.

L'esecuzione del file .EXE legittimo avvia le fasi successive dell'infezione. Il file eseguibile utilizza il side-loading delle DLL per caricare la DLL malevola. Questa DLL poi carica, decripta e aggiunge il payload finale in un processo target. Questo avviene eseguendo il process hollowing su uno dei seguenti processi: AddInProcess32.exe, InstallUtil.exe o aspnet_wp.exe.

un esempio di e-mail utilizzata per inviare malware/caricatore
Figura 1: esempio di e-mail
un diagramma di flusso che mostra la catena di infezione di QuirkyLoader
Figura 2: catena di infezione

Modulo DLL loader

​Il modulo DLL di QuirkyLoader è scritto costantemente in C# .NET. Viene compilato utilizzando la compilazione Ahead-of-Time (AOT), che compila prima il codice C# in Microsoft Intermediate Language (MSIL), per poi compilare l'MSIL in codice macchina nativo. Questa tecnica aggira il metodo tradizionale .NET che consiste nel compilare prima il codice in Microsoft Intermediate Language (MSIL) e poi utilizzare Common Language Runtime (CLR) per tradurlo in codice nativo. Di conseguenza, il binario finale assomiglia a un programma scritto in C o C++.

schermata dell'identificazione del compilatore e del linguaggio per un binario AOT di .NET
Figura 3: compilatore e identificazione del linguaggio per un binario .NET AOT

Per caricare il payload criptato, il malware chiama le API Win32 CreateFileW() e ReadFile(). Successivamente decripta il buffer contenente il payload, tipicamente utilizzando un cifrario a blocchi.

È interessante notare che una variante utilizza la modalità di cifratura Speck-128 con contatore (CTR) per decifrare il payload, un metodo non comunemente utilizzato dal malware. Il cifrario Speck funziona espandendo la chiave master in diverse chiavi circolari. Utilizza queste chiavi rotonde insieme a un nonce per generare un flusso di chiavi eseguendo operazioni Add-Rotate-XOR (ARX). Infine, il malware effettua un XOR del flusso di chiavi generati contro i dati criptati in blocchi da 16 byte per produrre il payload decriptato.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

Blocco di codice 1 Generazione del flusso di chiavi del cifrario Speck

Per eludere il rilevamento da parte del software di sicurezza, il malware risolve dinamicamente le API Win32 necessarie per il process hollowing.

Innanzitutto, il malware utilizza createProcessW () per avviare un processo in stato sospeso. Quindi, disattiva la memoria del processo sospeso con ZwUnmapViewOfSection() e scrive il suo payload malevolo in quello spazio di memoria utilizzando ZwWriteVirtualMemory(). Dopo aver eseguito queste inizializzazioni, il malware imposta il punto di partenza del payload con SetThreadContext() e chiama ResumeThread() per eseguirlo.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

Vittimologia

Sebbene le informazioni sulla distribuzione geografica delle operazioni di QuirkyLoader siano state limitate negli ultimi mesi, nel luglio 2025 sono state scoperte due campagne distinte che avevano come obiettivo Taiwan e il Messico. La campagna a Taiwan si è rivolta specificamente ai dipendenti di Nusoft Taiwan, una società di ricerca sulla sicurezza delle reti e di Internet, e ha distribuito l'infostealer Snake Keylogger. In Messico, la campagna ha preso di mira in modo casuale le persone, distribuendo sia il Remcos RAT che l'AsyncRAT.

Infrastruttura di rete correlata

IBM X-Force ha scoperto ulteriori IOC di rete relativi al dominio utilizzato per distribuire le e-mail di malspam. L'indagine è iniziata con il dominio catherinereynolds [.] info, che si risolve all'indirizzo IP 157[.]66[.]225[.]11 e ospita un client web Zimbra. Dopo un'ispezione più approfondita, si è scoperto che il dominio utilizza un certificato SSL con il nome comune mail[.]catherinereynolds[.]info. Partendo da questo certificato, gli IP 103[.]75[.]77[.]90 e 161 [.] 248 [.] 178 [.] 212 si è scoperto che utilizzavano lo stesso certificato SSL. X-Force è fermamente convinta che questi IP aggiuntivi siano correlati perché utilizzano ISP simili, ospitano servizi simili e condividono lo stesso nome comune nei loro certificati SSL.

Certificato SSL di catherinereynolds[.]info
Figura 4: certificato SSL di catherinereynolds[.]info

Conclusione

QuirkyLoader è un nuovo caricatore di malware che distribuisce attivamente famiglie di malware note come Agent Tesla, AsyncRAT e Remcos. L'attore delle minacce avvia un'infezione in più fasi utilizzando e-mail dannose contenenti un file di archivio. Sfruttando il side-loading delle DLL, il malware esegue il suo modulo DLL principale, che è sempre scritto in .NET e compilato in anticipo per mascherare la sua natura. Questo modulo decifra e inietta quindi il payload finale, dimostrando un metodo sofisticato per diffondere varie minacce malware.

Raccomandazioni

  • Blocca messaggi con allegati eseguibili
  • Evita di aprire e-mail inaspettate
  • Evita di aprire file che provengono da fonti non affidabili
  • Mantieni i prodotti di sicurezza aggiornati e correttamente configurati
  • Poiché i payload finali sono in genere infostealer e strumenti di accesso remoto, monitora e ispeziona attivamente il traffico di rete in uscita.
  • Monitora attentamente il comportamento dei seguenti processi legittimi, poiché sono obiettivi comuni per il process hollowing da parte di QuirkyLoader:
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

Indicatori di compromesso

Indicatore

Tipo di indicatore

Contesto

011257eb766f2539828bdd45
F8aa4CE3c4048AC2699D9883
29783290a7b4a0d3

File

Modulo DLL QuirkyLoader

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

File

Modulo DLL QuirkyLoader

a64a99b8451038F2BBCD32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

File

Modulo DLL QuirkyLoader

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

File

Modulo DLL QuirkyLoader

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
BD649525AC247C111

File

Modulo DLL QuirkyLoader

d954B235bde6AD02451Cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

File

Esempio di e-mail di QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061FC1190310F5046D969ADAB
3e7565978b96ff

File

Esempio di e-mail di QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

File

Esempio di e-mail di QuirkyLoader

EA65CF2D5634A81F37D3241A7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

File

Esempio di e-mail di QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579EF029333057B911BB490
5e24aacc05460

File

Esempio di e-mail di QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

File

Esempio di e-mail di QuirkyLoader

b22d878395ac2F2d927b78B16
C9F5E9B98E006D6357C98DBE
04b3fd78633ddde

File

Esempio di e-mail di QuirkyLoader

a83aa955608e9463f272ADCA
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

File

Esempio di e-mail di QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

File

Esempio di e-mail di QuirkyLoader

b2fdf10bd28c781ca354475BE6
db40b8834f33d395f7b5850be
43ccace722c13

File

Esempio di e-mail di QuirkyLoader

bf3093f7453e4d0290511EA6a0
36cd3a66f456cd4a85b7ec8fbf
EA6B9C548504

File

Allegato e-mail contenente QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
AC60F366E843D

File

Allegato e-mail contenente QuirkyLoader

b42bc8b2aeec39f25babdcbbd
AAB806c339e4397debfde2ff1b
69dca5081eb44

File

Allegato e-mail contenente QuirkyLoader

5aaf02e4348dc6e962ec54d5d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

File

Allegato e-mail contenente QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

File

Allegato e-mail contenente QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

File

Allegato e-mail contenente QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

File

Allegato e-mail contenente QuirkyLoader

catherinereynolds[.]info

Dominio

Dominio utilizzato per la campagna di malspam

posta[.]catherinereynolds[.]info

Dominio

Dominio utilizzato per la campagna di malspam

157[.]66[.]22[.]11

IPv4

Indirizzo IP che catherinereynolds[.]info si risolve a

103[.]75[.]77[.]90

IPv4

Indirizzo IP correlato a QuirkyLoader

161[.]248[.]178[.]212

IPv4

Indirizzo IP correlato a QuirkyLoader

IBM X-Force Premier Threat Intelligence è ora integrato con OpenCTI, offrendo threat intelligence fruibile su questa attività di minaccia e altro ancora. Accedi a insight su attori delle minacce, malware e rischi del settore. Installa OpenCTI Connector per migliorare il rilevamento e la risposta, rafforzando la tua cybersecurity con l'esperienza di IBM X-Force. Resta al passo con i tempi:integra subito.

