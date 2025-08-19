Da novembre 2024, IBM X-Force ha osservato l'utilizzo di un nuovo caricatore, QuirkyLoader, per distribuire payload aggiuntivi ai sistemi infetti. Alcune delle famiglie malware più note che utilizzano QuirkyLoader includono:
L'infezione a più fasi inizia con un e-mail. L'attore della minaccia utilizza sia provider di servizi e-mail legittimi che un server e-mail self-hosted per inviare e-mail con un archivio malevolo allegato. Questo archivio contiene tre componenti chiave: un file eseguibile legittimo, un payload crittografato e una DLL dannosa. L'attore utilizza il side-loading della DLL, una tecnica in cui l'avvio dell'eseguibile legittimo carica anche la DLL dannosa. Questa DLL, a sua volta, carica, decripta e inserisce il payload finale nel processo di destinazione.
In particolare, X-Force ha osservato che l'attore delle minacce scrive costantemente il modulo DLL loader in linguaggi .NET e utilizza la compilazione ahead-of-time (AOT). Questo processo compila il codice in codice macchina nativo prima dell'esecuzione, facendo apparire il binario risultante come scritto in C o C++.
La catena di infezione di QuirkyLoader inizia quando un utente apre un file di archivio malevolo allegato a un'e-mail di spam. Questo archivio contiene un file eseguibile legittimo, un payload crittografato mascherato da DLL e un modulo di caricamento DLL. In alcuni casi, l'archivio include altre DLL legittime per nascondere il modulo malevolo.
L'esecuzione del file .EXE legittimo avvia le fasi successive dell'infezione. Il file eseguibile utilizza il side-loading delle DLL per caricare la DLL malevola. Questa DLL poi carica, decripta e aggiunge il payload finale in un processo target. Questo avviene eseguendo il process hollowing su uno dei seguenti processi: AddInProcess32.exe, InstallUtil.exe o aspnet_wp.exe.
Il modulo DLL di QuirkyLoader è scritto costantemente in C# .NET. Viene compilato utilizzando la compilazione Ahead-of-Time (AOT), che compila prima il codice C# in Microsoft Intermediate Language (MSIL), per poi compilare l'MSIL in codice macchina nativo. Questa tecnica aggira il metodo tradizionale .NET che consiste nel compilare prima il codice in Microsoft Intermediate Language (MSIL) e poi utilizzare Common Language Runtime (CLR) per tradurlo in codice nativo. Di conseguenza, il binario finale assomiglia a un programma scritto in C o C++.
Per caricare il payload criptato, il malware chiama le API Win32 CreateFileW() e ReadFile(). Successivamente decripta il buffer contenente il payload, tipicamente utilizzando un cifrario a blocchi.
È interessante notare che una variante utilizza la modalità di cifratura Speck-128 con contatore (CTR) per decifrare il payload, un metodo non comunemente utilizzato dal malware. Il cifrario Speck funziona espandendo la chiave master in diverse chiavi circolari. Utilizza queste chiavi rotonde insieme a un nonce per generare un flusso di chiavi eseguendo operazioni Add-Rotate-XOR (ARX). Infine, il malware effettua un XOR del flusso di chiavi generati contro i dati criptati in blocchi da 16 byte per produrre il payload decriptato.
Blocco di codice 1 Generazione del flusso di chiavi del cifrario Speck
Per eludere il rilevamento da parte del software di sicurezza, il malware risolve dinamicamente le API Win32 necessarie per il process hollowing.
Innanzitutto, il malware utilizza createProcessW () per avviare un processo in stato sospeso. Quindi, disattiva la memoria del processo sospeso con ZwUnmapViewOfSection() e scrive il suo payload malevolo in quello spazio di memoria utilizzando ZwWriteVirtualMemory(). Dopo aver eseguito queste inizializzazioni, il malware imposta il punto di partenza del payload con SetThreadContext() e chiama ResumeThread() per eseguirlo.
Sebbene le informazioni sulla distribuzione geografica delle operazioni di QuirkyLoader siano state limitate negli ultimi mesi, nel luglio 2025 sono state scoperte due campagne distinte che avevano come obiettivo Taiwan e il Messico. La campagna a Taiwan si è rivolta specificamente ai dipendenti di Nusoft Taiwan, una società di ricerca sulla sicurezza delle reti e di Internet, e ha distribuito l'infostealer Snake Keylogger. In Messico, la campagna ha preso di mira in modo casuale le persone, distribuendo sia il Remcos RAT che l'AsyncRAT.
IBM X-Force ha scoperto ulteriori IOC di rete relativi al dominio utilizzato per distribuire le e-mail di malspam. L'indagine è iniziata con il dominio catherinereynolds [.] info, che si risolve all'indirizzo IP 157[.]66[.]225[.]11 e ospita un client web Zimbra. Dopo un'ispezione più approfondita, si è scoperto che il dominio utilizza un certificato SSL con il nome comune mail[.]catherinereynolds[.]info. Partendo da questo certificato, gli IP 103[.]75[.]77[.]90 e 161 [.] 248 [.] 178 [.] 212 si è scoperto che utilizzavano lo stesso certificato SSL. X-Force è fermamente convinta che questi IP aggiuntivi siano correlati perché utilizzano ISP simili, ospitano servizi simili e condividono lo stesso nome comune nei loro certificati SSL.
QuirkyLoader è un nuovo caricatore di malware che distribuisce attivamente famiglie di malware note come Agent Tesla, AsyncRAT e Remcos. L'attore delle minacce avvia un'infezione in più fasi utilizzando e-mail dannose contenenti un file di archivio. Sfruttando il side-loading delle DLL, il malware esegue il suo modulo DLL principale, che è sempre scritto in .NET e compilato in anticipo per mascherare la sua natura. Questo modulo decifra e inietta quindi il payload finale, dimostrando un metodo sofisticato per diffondere varie minacce malware.
Indicatore
Tipo di indicatore
Contesto
011257eb766f2539828bdd45
File
Modulo DLL QuirkyLoader
0ea3a55141405ee0e2dfbf33
File
Modulo DLL QuirkyLoader
a64a99b8451038F2BBCD32
File
Modulo DLL QuirkyLoader
9726e5c7f9800b36b671b06
File
Modulo DLL QuirkyLoader
a1994ba84e255eb02a6140c
File
Modulo DLL QuirkyLoader
d954B235bde6AD02451Cab
File
Esempio di e-mail di QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
File
Esempio di e-mail di QuirkyLoader
6f53c1780b92f3d5affcf095ae
File
Esempio di e-mail di QuirkyLoader
EA65CF2D5634A81F37D3241A7
File
Esempio di e-mail di QuirkyLoader
1b8c6d3268a5706fb41ddfff99
File
Esempio di e-mail di QuirkyLoader
d0a3a1ee914bcbfcf709d36741
File
Esempio di e-mail di QuirkyLoader
b22d878395ac2F2d927b78B16
File
Esempio di e-mail di QuirkyLoader
a83aa955608e9463f272ADCA
File
Esempio di e-mail di QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
File
Esempio di e-mail di QuirkyLoader
b2fdf10bd28c781ca354475BE6
File
Esempio di e-mail di QuirkyLoader
bf3093f7453e4d0290511EA6a0
File
Allegato e-mail contenente QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
File
Allegato e-mail contenente QuirkyLoader
b42bc8b2aeec39f25babdcbbd
File
Allegato e-mail contenente QuirkyLoader
5aaf02e4348dc6e962ec54d5d5d
File
Allegato e-mail contenente QuirkyLoader
8e0770383c03ce6921079879
File
Allegato e-mail contenente QuirkyLoader
049ef50ec0fac1b99857a6d2b
File
Allegato e-mail contenente QuirkyLoader
cba8bb455d577314959602eb
File
Allegato e-mail contenente QuirkyLoader
catherinereynolds[.]info
Dominio
Dominio utilizzato per la campagna di malspam
posta[.]catherinereynolds[.]info
Dominio
Dominio utilizzato per la campagna di malspam
157[.]66[.]22[.]11
IPv4
Indirizzo IP che catherinereynolds[.]info si risolve a
103[.]75[.]77[.]90
IPv4
Indirizzo IP correlato a QuirkyLoader
161[.]248[.]178[.]212
IPv4
Indirizzo IP correlato a QuirkyLoader
