2024年11月以降、IBM X-Forceは、感染したシステムに追加のペイロードを配信するために使用されている新たなローダー「QuirkyLoader」を観察しています。QuirkyLoaderを使用する有名なマルウェア・ファミリーには次のようなものがあります。

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

多段階感染はEメールから始まります。脅威アクターは、正規のEメール・サービス・プロバイダーとセルフホスト型Eメール・サーバーの両方を使用して、悪意のあるアーカイブが添付されたEメールを送信します。このアーカイブには、正規の実行ファイル、暗号化されたペイロード、悪意のあるDLLという3つの主要コンポーネントが含まれています。攻撃者は、正規の実行ファイルを起動すると悪意のあるDLLもロードされるという手法である、DLLサイドローディングを使用します。続いてこのDLLは、最終的なペイロードを読み込み、復号化し、ターゲット・プロセスに挿入します。

特にX-Forceは、脅威アクターが一貫して.NET言語でDLLローダー・モジュールを作成し、事前（AOT）コンパイルを使用している点に注目しました。このプロセスでは、実行前にコードがネイティブ・マシン・コードにコンパイルされ、結果として得られるバイナリーはCまたはC++言語で書かれたかのように見えます。