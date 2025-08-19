منذ نوفمبر 2024، رصدت IBM X-Force استخدام محمل جديد، QuirkyLoader، لنشر حمولات إضافية على الأنظمة المصابة. بعض عائلات البرامج الضارة المعروفة التي تستخدم QuirkyLoader تشمل ما يلي:
تبدأ عملية الإصابة متعددة المراحل برسالة بريد إلكتروني. يستخدم عنصر التهديد كلاً من مزودي خدمة البريد الإلكتروني الشرعيين وخادم بريد إلكتروني مستضاف ذاتيًا لإرسال رسائل البريد الإلكتروني مرفقة بأرشيف خبيث. يحتوي هذا الأرشيف على ثلاثة عناصر رئيسية: ملف تنفيذي شرعي، وحمولة مشفرة، وملف DLL خبيث. يستخدم العنصر أسلوب التحميل الجانبي لملف DLL، وهي تقنية يؤدي فيها تشغيل الملف التنفيذي الشرعي إلى تحميل ملف DLL الخبيث أيضًا. وملف DLL هذا، بدوره، يحمل الحمولة النهائية ويفك تشفيرها ويحقنها في العملية المستهدفة.
ومن الجدير بالذكر أن X-Force لاحظت أن عنصر التهديد يكتب وحدة محمل DLL دائمًا بلغات .NET ويستخدم الإعداد المسبق (AOT). تحول هذه العملية الكود إلى كود الجهاز الأصلي قبل التنفيذ، ما يجعل الملف الثنائي الناتج يبدو وكأنه مكتوب بلغة C أو C++.
تبدأ سلسلة الإصابة بفيروس QuirkyLoader عندما يفتح المستخدم ملف أرشيف خبيثًا مرفقًا مع رسالة بريد إلكتروني مزعجة. يحتوي هذا الأرشيف على ملف تنفيذي شرعي، وحمولة مشفرة متخفية في شكل DLL ووحدة محمل DLL. في بعض الحالات، يتضمن الأرشيف ملفات DLL شرعية أخرى لإخفاء الوحدة الخبيثة.
يؤدي تنفيذ ملف .EXE الشرعي إلى بدء المراحل التالية من عملية الإصابة. يستخدم الملف التنفيذي التحميل الجانبي لمكتبات الارتباطات الديناميكية لتحميل ملف DLL خبيث. ثم يُحمل ملف DLL هذا الحمولة النهائية ويفك تشفيرها ويحقنها في العملية المستهدفة. ويتحقق ذلك من خلال إجراء تفريغ لإحدى العمليات التالية: AddInProcess32.exe، أو InstallUtil.exe أو aspnet_wp.exe.
تُكتب وحدة DLL الخاصة ببرنامج QuirkyLoader دومًا بلغة C# .NET. وتحوّل باستخدام الإعداد المسبق (AOT)، والذي يحول كود C# إلى لغة Microsoft الوسيطة (MSIL) أولاً، ثم يحول MSIL إلى كود الجهاز الأصلي. تتخطى هذه التقنية طريقة .NET التقليدية المتمثلة في تحويل الكود أولاً إلى لغة Microsoft الوسيطة (MSIL) ثم استخدام وقت تشغيل اللغة العامة (CLR) لترجمتها إلى الكود الأصلي. ونتيجة لذلك، فإن الملف الثنائي النهائي يشبه برنامجًا مكتوبًا بلغة C أو C ++.
لتحميل الحمولة المشفّرة، يستدعي البرنامج الضار واجهتي برمجة التطبيقات Win32 وهما CreateFileW() و ReadFile(). ثم يفك تشفير المخزن المؤقت الذي يحتوي على الحمولة، وذلك باستخدام تشفير كتلي عادةً.
من المثير للاهتمام أن أحد الإصدارات تستخدم شفرة Speck-128 مع وضع العداد (CTR) لفك تشفير الحمولة، وهي طريقة لا تستخدمها البرامج الضارة عادةً. تعمل شفرة Speck عن طريق توسيع المفتاح الرئيسي إلى عدة مفاتيح دائرية. وتستخدم هذه المفاتيح الدائرية إلى جانب قيمة nonce لإنشاء تدفق مفاتيح من خلال إجراء عمليات إضافة تدوير XOR (ARX). وأخيرًا، يُجري البرنامج الضار عملية XOR لتدفق المفاتيح الناتج مقابل البيانات المشفرة في كتل بحجم 16 بايت لإنتاج الحمولة بعد فك تشفيرها.
مجموعة الكود رقم 1، إنشاء تدفق المفاتيح باستخدام Speck Cipher
لتجنب الاكتشاف عن طريق برامج الأمان، يحلل البرنامج الضار واجهات Win32 المطلوبة لتفريغ العمليات بشكل ديناميكي.
أولاً، يستخدم البرنامج الضار CreateProcessW() لبدء عملية معلقة. ثم يلغي تعيين ذاكرة العملية المعلقة باستخدام ZwUnmapViewOfSection() ويكتب حمولتها الخبيثة في مساحة الذاكرة تلك باستخدام ZwWriteVirtualMemory(). بعد إجراء هذه التهيئة الأولية، يضبط البرنامج الضار نقطة بداية الحمولة باستخدام SetThreadContext() ويستدعي ResumeThread() لتنفيذها.
على الرغم من أن المعلومات المتعلقة بالتوزيع الجغرافي لعمليات QuirkyLoader كانت محدودة خلال الأشهر القليلة الماضية، إلا أنه اكتُشفت حملتان مختلفتان في شهر يوليو 2025 استهدفتا تايوان والمكسيك. استهدفت الحملة في تايوان على وجه التحديد موظفي شركة Nusoft Taiwan، وهي شركة متخصصة في أبحاث أمن الشبكات والإنترنت، ونشرت برنامج Snake Keylogger لسرقة المعلومات. في المكسيك، استهدفت الحملة الأفراد بشكل عشوائي، حيث نشرت كل من Remcos RAT وAsyncRAT.
كشفت IBM X-Force عن مؤشرات اختراق إضافية في الشبكة تتعلق بالنطاق المستخدم لتوزيع رسائل البريد الإلكتروني الخبيثة المزعجة. بدأ الفحص بالنطاق catherinereynolds[.]info، الذي يُحلل إلى عنوان IP 157[.]66[.]225[.]11 ويستضيف عميل الويب Zimbra. عند الفحص عن كثب، تبين أن النطاق يستخدم شهادة SSL تحمل الاسم المشترك mail[.]catherinereynolds[.]info. وانطلاقًا من هذه الشهادة، اكتُشف استخدام عنواني IP 103[.]75[.]77[.]90 و161[.]248[.]178[.]212 لشهادة SSL نفسها. تثق X-Force بشدة أن عناوين IP الإضافية هذه مرتبطة لأنها تستخدم مزودي خدمة إنترنت (ISP) متشابهين، وتستضيف خدمات متشابهة، وتتشارك في الاسم المشترك نفسه في شهادات SSL.
QuirkyLoader هو برنامج محمل ضار يعمل بنشاط على نشر عائلات البرامج الضارة المعروفة مثل Agent Tesla وAsyncRAT وRemcos. يبدأ عنصر التهديد عملية الإصابة متعددة المراحل باستخدام رسائل بريد إلكتروني خبيثة تحتوي على ملف أرشيف. وبالاستفادة من التحميل الجانبي لمكتبات الارتباطات الديناميكية، ينفذ البرنامج الضار وحدة DLL الأساسية الخاصة به، والتي تُكتب دومًا بلغة .NET وتحوّل مسبقًا لإخفاء طبيعتها. ثم تفك هذه الوحدة تشفير الحمولة النهائية وتحقنها، ما يدل على طريقة متطورة لنشر تهديدات البرامج الضارة المختلفة.
المؤشر
نوع المؤشر
السياق
011257eb766f2539828bdd45
الملف
وحدة QuirkyLoader DLL
0ea3a55141405ee0e2dfbf33
الملف
وحدة QuirkyLoader DLL
a64a99b8451038f2bbcd32
الملف
وحدة QuirkyLoader DLL
9726e5c7f9800b36b671b06
الملف
وحدة QuirkyLoader DLL
a1994ba84e255eb02a6140c
الملف
وحدة QuirkyLoader DLL
d954b235bde6ad02451cab
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
6f53c1780b92f3d5affcf095ae
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
ea65cf2d5634a81f37d3241a7
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
1b8c6d3268a5706fb41ddfff99
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
d0a3a1ee914bcbfcf709d36741
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
b22d878395ac2f2d927b78b16
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
a83aa955608e9463f272adca
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
b2fdf10bd28c781ca354475be6
الملف
عينة من رسالة بريد إلكتروني تحتوي على QuirkyLoader
bf3093f7453e4d0290511ea6a0
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
b42bc8b2aeec39f25babdcbbd
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
5aaf02e4348dc6e962ec54d5d
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
8e0770383c03ce6921079879
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
049ef50ec0fac1b99857a6d2b
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
cba8bb455d577314959602eb
الملف
مرفق بريد إلكتروني يحتوي على QuirkyLoader
catherinereynolds[.]info
النطاق
النطاق المستخدم في حملة رسائل البريد الإلكتروني الخبيثة المزعجة
mail[.]catherinereynolds[.]info
النطاق
النطاق المستخدم في حملة رسائل البريد الإلكتروني الخبيثة المزعجة
157[.]66[.]22[.]11
IPv4
عنوان IP الذي تحلله catherinereynolds[.]info إلى
103[.]75[.]77[.]90
IPv4
عنوان IP المتعلق بالمحمل QuirkyLoader
161[.]248[.]178[.]212
IPv4
عنوان IP المتعلق بالمحمل QuirkyLoader
