2024년 11월부터 IBM X-Force는 새로운 로더인 QuirkyLoader가 감염된 시스템에 추가 페이로드를 전달하는 데 사용되는 것을 관찰했습니다. QuirkyLoader를 사용하는 잘 알려진 멀웨어 제품군은 다음과 같습니다.

Agent Tesla

AsyncRat

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

다단계 감염은 이메일에서 시작됩니다. 위협 행위자는 합법적인 이메일 서비스 제공업체와 자체 호스팅 이메일 서버를 모두 사용하여 악성 아카이브가 첨부된 이메일을 보냅니다. 이 아카이브에는 합법적인 실행 파일, 암호화된 페이로드 및 악성 DLL의 세 가지 주요 구성 요소가 포함되어 있습니다. 이 행위자는 DLL 사이드로딩을 사용하는데, 이는 합법적인 실행 파일을 실행하면 악성 DLL도 로드되는 기법입니다. 그런 다음 이 DLL은 최종 페이로드를 로드, 암호 해독 및 대상 프로세스에 주입합니다.

특히 X-Force는 위협 행위자가 일관되게 .NET 언어로 DLL 로더 모듈을 작성하고 AOT(Ahead-of-Time) 컴파일을 사용하는 것을 관찰했습니다. 이 프로세스는 실행 전에 코드를 네이티브 머신 코드로 컴파일하여 결과 바이너리가 C 또는 C++로 작성된 것처럼 보이게 합니다.