تحليل IBM X-Force للتهديدات: QuirkyLoader - محمل برامج ضارة جديد ينقل برمجيات سرقة المعلومات وأحصنة طروادة للوصول عن بُعد (RAT)

امرأة تبدو قلقة وتضع يديها على وجهها وهي جالسة أمام جهاز كمبيوتر محول وتنظر إليه

منذ نوفمبر 2024، رصدت IBM X-Force استخدام محمل جديد، QuirkyLoader، لنشر حمولات إضافية على الأنظمة المصابة. بعض عائلات البرامج الضارة المعروفة التي تستخدم QuirkyLoader تشمل ما يلي:

  • Agent Tesla                  
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Snake Keylogger

تبدأ عملية الإصابة متعددة المراحل برسالة بريد إلكتروني. يستخدم عنصر التهديد كلاً من مزودي خدمة البريد الإلكتروني الشرعيين وخادم بريد إلكتروني مستضاف ذاتيًا لإرسال رسائل البريد الإلكتروني مرفقة بأرشيف خبيث. يحتوي هذا الأرشيف على ثلاثة عناصر رئيسية: ملف تنفيذي شرعي، وحمولة مشفرة، وملف DLL خبيث. يستخدم العنصر أسلوب التحميل الجانبي لملف DLL، وهي تقنية يؤدي فيها تشغيل الملف التنفيذي الشرعي إلى تحميل ملف DLL الخبيث أيضًا. وملف DLL هذا، بدوره، يحمل الحمولة النهائية ويفك تشفيرها ويحقنها في العملية المستهدفة.

ومن الجدير بالذكر أن X-Force لاحظت أن عنصر التهديد يكتب وحدة محمل DLL دائمًا بلغات .NET ويستخدم الإعداد المسبق (AOT). تحول هذه العملية الكود إلى كود الجهاز الأصلي قبل التنفيذ، ما يجعل الملف الثنائي الناتج يبدو وكأنه مكتوب بلغة C أو C++.

نوع التهديد

  • محمل

التحليل

عملية الإصابة

تبدأ سلسلة الإصابة بفيروس QuirkyLoader عندما يفتح المستخدم ملف أرشيف خبيثًا مرفقًا مع رسالة بريد إلكتروني مزعجة. يحتوي هذا الأرشيف على ملف تنفيذي شرعي، وحمولة مشفرة متخفية في شكل DLL ووحدة محمل DLL. في بعض الحالات، يتضمن الأرشيف ملفات DLL شرعية أخرى لإخفاء الوحدة الخبيثة.

يؤدي تنفيذ ملف .EXE الشرعي إلى بدء المراحل التالية من عملية الإصابة. يستخدم الملف التنفيذي التحميل الجانبي لمكتبات الارتباطات الديناميكية لتحميل ملف DLL خبيث. ثم يُحمل ملف DLL هذا الحمولة النهائية ويفك تشفيرها ويحقنها في العملية المستهدفة. ويتحقق ذلك من خلال إجراء تفريغ لإحدى العمليات التالية: AddInProcess32.exe، أو InstallUtil.exe أو aspnet_wp.exe.

عينة من رسالة بريد إلكتروني مستخدمة لنشر برنامج ضار/محمل
الشكل 1: عينة رسالة بريد إلكتروني
مخطط انسيابي يوضح عملية الإصابة بفيروس QuirkyLoader
الشكل 2: عملية الإصابة

وحدة محمل DLL

​تُكتب وحدة DLL الخاصة ببرنامج QuirkyLoader دومًا بلغة C# .NET. وتحوّل باستخدام الإعداد المسبق (AOT)، والذي يحول كود C# إلى لغة Microsoft الوسيطة (MSIL) أولاً، ثم يحول MSIL إلى كود الجهاز الأصلي. تتخطى هذه التقنية طريقة .NET التقليدية المتمثلة في تحويل الكود أولاً إلى لغة Microsoft الوسيطة (MSIL) ثم استخدام وقت تشغيل اللغة العامة (CLR) لترجمتها إلى الكود الأصلي. ونتيجة لذلك، فإن الملف الثنائي النهائي يشبه برنامجًا مكتوبًا بلغة C أو C ++.

لقطة شاشة لتحديد المحوّل البرمجي واللغة لملف ثنائي .NET AOT
الشكل 3: تحديد المحوّل البرمجي واللغة لملف ثنائي .NET AOT

لتحميل الحمولة المشفّرة، يستدعي البرنامج الضار واجهتي برمجة التطبيقات Win32 وهما  CreateFileW() و ReadFile(). ثم يفك تشفير المخزن المؤقت الذي يحتوي على الحمولة، وذلك باستخدام تشفير كتلي عادةً.

من المثير للاهتمام أن أحد الإصدارات تستخدم شفرة Speck-128 مع وضع العداد (CTR) لفك تشفير الحمولة، وهي طريقة لا تستخدمها البرامج الضارة عادةً. تعمل شفرة Speck عن طريق توسيع المفتاح الرئيسي إلى عدة مفاتيح دائرية. وتستخدم هذه المفاتيح الدائرية إلى جانب قيمة nonce لإنشاء تدفق مفاتيح من خلال إجراء عمليات إضافة تدوير XOR (ARX). وأخيرًا، يُجري البرنامج الضار عملية XOR لتدفق المفاتيح الناتج مقابل البيانات المشفرة في كتل بحجم 16 بايت لإنتاج الحمولة بعد فك تشفيرها.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

مجموعة الكود رقم 1، إنشاء تدفق المفاتيح باستخدام Speck Cipher

لتجنب الاكتشاف عن طريق برامج الأمان، يحلل البرنامج الضار واجهات Win32 المطلوبة لتفريغ العمليات بشكل ديناميكي.

أولاً، يستخدم البرنامج الضار CreateProcessW() لبدء عملية معلقة. ثم يلغي تعيين ذاكرة العملية المعلقة باستخدام ZwUnmapViewOfSection() ويكتب حمولتها الخبيثة في مساحة الذاكرة تلك باستخدام ZwWriteVirtualMemory(). بعد إجراء هذه التهيئة الأولية، يضبط البرنامج الضار نقطة بداية الحمولة باستخدام SetThreadContext() ويستدعي ResumeThread() لتنفيذها.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

علم الضحايا

على الرغم من أن المعلومات المتعلقة بالتوزيع الجغرافي لعمليات QuirkyLoader كانت محدودة خلال الأشهر القليلة الماضية، إلا أنه اكتُشفت حملتان مختلفتان في شهر يوليو 2025 استهدفتا تايوان والمكسيك. استهدفت الحملة في تايوان على وجه التحديد موظفي شركة Nusoft Taiwan، وهي شركة متخصصة في أبحاث أمن الشبكات والإنترنت، ونشرت برنامج Snake Keylogger لسرقة المعلومات. في المكسيك، استهدفت الحملة الأفراد بشكل عشوائي، حيث نشرت كل من Remcos RAT وAsyncRAT.

البنية التحتية للشبكة ذات الصلة

كشفت IBM X-Force عن مؤشرات اختراق إضافية في الشبكة تتعلق بالنطاق المستخدم لتوزيع رسائل البريد الإلكتروني الخبيثة المزعجة. بدأ الفحص بالنطاق catherinereynolds[.]info، الذي يُحلل إلى عنوان IP 157[.]66[.]225[.]11 ويستضيف عميل الويب Zimbra. عند الفحص عن كثب، تبين أن النطاق يستخدم شهادة SSL تحمل الاسم المشترك mail[.]catherinereynolds[.]info. وانطلاقًا من هذه الشهادة، اكتُشف استخدام عنواني IP 103[.]75[.]77[.]90 و161[.]248[.]178[.]212 لشهادة SSL نفسها. تثق X-Force بشدة أن عناوين IP الإضافية هذه مرتبطة لأنها تستخدم مزودي خدمة إنترنت (ISP) متشابهين، وتستضيف خدمات متشابهة، وتتشارك في الاسم المشترك نفسه في شهادات SSL.

شهادة SSL الخاصة بالنطاق catherinereynolds[.]info
الشكل 4: شهادة SSL الخاصة بالنطاق catherinereynolds[.]info

الخاتمة

QuirkyLoader هو برنامج محمل ضار يعمل بنشاط على نشر عائلات البرامج الضارة المعروفة مثل Agent Tesla وAsyncRAT وRemcos. يبدأ عنصر التهديد عملية الإصابة متعددة المراحل باستخدام رسائل بريد إلكتروني خبيثة تحتوي على ملف أرشيف. وبالاستفادة من التحميل الجانبي لمكتبات الارتباطات الديناميكية، ينفذ البرنامج الضار وحدة DLL الأساسية الخاصة به، والتي تُكتب دومًا بلغة .NET وتحوّل مسبقًا لإخفاء طبيعتها. ثم تفك هذه الوحدة تشفير الحمولة النهائية وتحقنها، ما يدل على طريقة متطورة لنشر تهديدات البرامج الضارة المختلفة.

التوصيات

  • حظر الرسائل التي تحتوي على مرفقات تنفيذية
  • تجنب فتح رسائل البريد الإلكتروني غير المتوقعة
  • تجنب فتح الملفات الواردة من مصادر غير موثوق بها
  • احرص على تحديث منتجات الأمان وتكوينها بشكل صحيح
  • نظرًا إلى أن الحمولات النهائية عادةً ما تكون أدوات لسرقة المعلومات والوصول عن بُعد، احرص على مراقبة وفحص حركة مرور الشبكة الصادرة دومًا
  • راقب عن كثب سلوك العمليات الشرعية التالية، حيث إنها أهداف شائعة لتفريغ العمليات باستخدام QuirkyLoader:
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

مؤشرات الاختراق

المؤشر

نوع المؤشر

السياق

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

الملف

وحدة QuirkyLoader DLL

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

الملف

وحدة QuirkyLoader DLL

a64a99b8451038f2bbcd32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

الملف

وحدة QuirkyLoader DLL

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

الملف

وحدة QuirkyLoader DLL

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
bd649525ac247c111

الملف

وحدة QuirkyLoader DLL

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

a83aa955608e9463f272adca
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

الملف

عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

الملف

مرفق بريد إلكتروني يحتوي على QuirkyLoader

catherinereynolds[.]info

النطاق

النطاق المستخدم في حملة رسائل البريد الإلكتروني الخبيثة المزعجة

mail[.]catherinereynolds[.]info

النطاق

النطاق المستخدم في حملة رسائل البريد الإلكتروني الخبيثة المزعجة

157[.]66[.]22[.]11

IPv4

عنوان IP الذي تحلله catherinereynolds[.]info إلى

103[.]75[.]77[.]90

IPv4

عنوان IP المتعلق بالمحمل QuirkyLoader

161[.]248[.]178[.]212

IPv4

عنوان IP المتعلق بالمحمل QuirkyLoader

IBM X-Force Premier Threat Intelligence أصبح الآن مدمجًا مع OpenCTI، ما يوفر استعلامات تهديدات عملية حول نشاط التهديد هذا وغيره الكثير. اكتسب معارف حول عناصر التهديد والبرامج الضارة ومخاطر المجال. بادر بتثبيت OpenCTI Connector لتعزيز الكشف والاستجابة، ما يعزز الأمن الإلكتروني لديك بالاستعانة بخبرة IBM X-Force. ابقِ في المقدمة—نفذ التكامل الآن.

