Un nuevo y sofisticado cargador de malware llamado QuirkyLoader se ha convertido en una importante amenaza de ciberseguridad, distribuyendo activamente infteilistas conocidos y troyanos de acceso remoto (ratas) desde noviembre de 2024.
El malware ha demostrado una notable versatilidad en la entrega de múltiples familias de carga útil, incluidos el agente Tesla, Asyncrat, Formbook, MassLogger, REMCOs, Rhadamanthys y Keylogger de serpientes, lo que lo convierte en una herramienta formidable de múltiples usos para cibercriminales que buscan implementar diversos escenarios de ataque en diferentes entornos de víctimas.
QuirkyLoader inicia su infección en varias etapas a través de correos electrónicos de spam cuidadosamente diseñados que contienen archivos adjuntos de archivo maliciosos.
Estos archivos agrupan hábilmente tres componentes críticos: un archivo ejecutable legítimo, una carga útil maliciosa encriptada disfrazada de DLL y un módulo de cargador DLL malicioso.
Los actores de amenaza demuestran la sofisticación operativa al emplear a los proveedores legítimos de servicios de correo electrónico y a los servidores de correo electrónico autohostados para distribuir sus campañas, asegurando la diversidad y la resistencia de la infraestructura contra los esfuerzos de derribo.
Ejemplo de correo electrónico (fuente – IBM)
Los analistas de IBM identificaron la metodología de ataque distintivo de QuirkyLoader, que aprovecha las técnicas avanzadas de carga lateral de DLL para ejecutar código malicioso mientras mantiene una chapa de legitimidad.
Cuando las víctimas lanzan el archivo ejecutable aparentemente benigno, carga automáticamente la DLL maliciosa, lo que posteriormente descifra e inyecta la carga útil final en procesos de destino a través de técnicas sofisticadas de hueco de procesos, asegurando la ejecución sigilosa.
Evasión avanzada a través de la compilación AOT
La innovación técnica más notable de QuirkyLoader radica en su uso constante de la compilación de anticipación (AOT) para sus módulos DLL Loader.
Cadena de infección (fuente – IBM)
Los autores de malware escriben estos componentes en C# .NET, pero los compilan utilizando técnicas AOT avanzadas, que primero convierten el código C# en Microsoft Intermediate Language (MSIL) antes de compilar directamente en el código de la máquina nativa.
Este enfoque sofisticado evita las dependencias tradicionales de tiempo de ejecución .NET y hace que el binario resultante se parezca mucho a los programas escritos en C o C ++, lo que complica significativamente los esfuerzos de detección y los procedimientos de análisis.
El malware emplea el modo de cifrado Speck-128 poco común con el modo contador (CTR) para el descifrado de la carga útil, utilizando operaciones complejas Add-Rotate-Xor (ARX) para generar teclas seguras.
QuirkyLoader realiza el proceso de hueco en los procesos legítimos de Windows, incluido AddInprocess32.exe, InstallUtil.exe y Aspnet_wp.exe, asegurando la ejecución de carga útil sigilosa mientras evade mecanismos de detección basados en procesos.
Las recientes campañas en julio de 2025 atacaron específicamente a los empleados de Nusoft Taiwán e individuos mexicanos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
